我经常对遍布安全社区的所有神话和误解感到惊讶,当它涉及安全意识培训。以下是我听到的最常见的谎言,以及它们为什么是错的。
[有关:13个安全神话]
1.培训不工作
我经常听人说:“意识不工作,我从来没有见过一个宣传方案真正改变人们的行为。”
说实话,我有这个说法一致。过去,大多数意识方案都未能改变行为。然而,那是因为在过去,大多数项目的目的不是改变行为。他们唯一的目标是满足合规性要求,以检查框。其结果是,绝对最小值为投资。
这些裸最小意识方案,其中有人运行一个PowerPoint演示文稿一年一次,或者发出一个季度安全意识通讯的人。
对于一个宣传方案,有效地改变自己的行为,你需要创建,旨在从根本上改变行为的程序。
2.这是不值得的,因为人还是会陷入困境
人们告诉我意识是失败的;不管你训练了多少人,总有一小部分人仍然会成为受害者。各位,安全是为了减少风险,而不是消除风险。
意识无非是另一种安全控制。为什么人们持有意识,以不同的标准是我永远也不会明白。认知度绝不逊于加密,防火墙或入侵检测不同。然而,随着知名度,你可以得到您的投资带来巨大的回报,在许多情况下,减少了对人体的风险的95%,根据网络钓鱼测试进行测量。给我任何其他控件,将让你的投资回报率型的。
3.人们已经知道该怎么做
我读过从学者认为说,人们已经知道安全的行为,跟随有趣的报告,他们只是选择不跟随他们。
哇,这里的这些人得到他们的数据?与我一起工作的组织,而不是只做人们通常不知道他们应该遵循什么安全的行为,但他们也如饥似渴地学习。他们知道有坏人在网上,但他们不知道该怎么保护自己免受他们什么。问题不在于人。问题是,我们不能有效地训练他们。什么是数一件事,在我的经验,人们不知道?他们不知道,保持操作系统和应用程序当前是保持自己的电脑和移动设备的安全是至关重要的。
4.这是所有关于预防
当人们讨论的意识,他们通常只专注于预防--they're试图实现的想法“人防火墙”。虽然预防是很重要的,为什么要限制自己呢?为什么不培养人才,成为人体感应传感器呢?
教工人妥协的指标,并让他们报告潜在的事件。例如,如果你在内部进行钓鱼评估,你不应该只追踪有多少人受到了攻击,还应该知道有多少人发现并报告了攻击。想想那时你的组织会变得多么强大。
5.它的简单
很多人都和我一起工作假设创建宣传方案很简单。如果你唯一的目标是遵守,那么,宣传方案很简单。但是,如果你想改变人类的行为,有效地降低风险,你需要有一个计划。具体来说,你需要确定你在程序的目标是谁,在什么样的行为变化减少的最大风险,您的组织,你将如何参与和交流的行为这些变化。
我在公司里看到的有效的意识培训项目最常见的障碍之一就是不知道从哪里开始。您可以在san secure the Human网站上找到一套完整的免费规划资源,这些资源是由社区开发的,为社区开发的,其中包括一个海报,记录了每个步骤,并提供了构建程序所需的所有模板和检查列表。
我认识一个巨大的风扇,并且我已经看到了巨大的冲击也多了。然而,直到我们作为一个社区开始确保人力OS,坏人将继续有它容易。技术单独只能走这么远。
兰斯·斯匹茨纳(Lance Spitzner)是SANS的培训总监保护人类程序。
这个故事,“5个神话关于意识”最初发表方案 。