Frage:
Welche Themen sollte ein Sicherheitstraining für Nicht-IT-Personen enthalten?
hamena314
2016-04-06 16:36:50 UTC
view on stackexchange narkive permalink

(Ich bin nicht sicher, ob diese Frage zum security.stackexchange-Board passt, aber die Liste der fragbaren Themen schließt diese Frage imho nicht aus, und es gibt einige Beispiele)

Ich habe für verschiedene Unternehmen gearbeitet, von denen einige ihre IT-Abteilung ausgelagert hatten. Dies bedeutet, dass die Mitarbeiter des Unternehmens hauptsächlich Technologie verwenden, diese jedoch nicht besser verstehen, insbesondere wenn es um Sicherheit geht.

Daher spielte ich mit der Idee, 1 oder 2 kleine Workshops / Schulungen anzubieten So können sie zumindest eine Vorstellung davon bekommen, WARUM Computersicherheit wichtig ist und WAS genau wichtig ist. Ich würde dies gerne tun, weil ich denke, menschliches Wissen sollte geteilt werden, unabhängig vom Empfänger und beide Seiten könnten lernen. Meine Kollegen verstehen die Sicherheit möglicherweise besser und ich verstehe ihre Sichtweise möglicherweise besser.

Also setzte ich mich hin und versuchte, eine Liste der notwendigen und nützlichen Themen zu erstellen, wobei ich die Zielgruppe im Auge hatte.

Vermisse ich Themen, sollte es andere Themen geben? Was ist zu lernen, wenn Sie sich mit Computersicherheit befassen?

Themen:

  1. Warum Computersicherheit? (Kosten, Ransomware, die ein komplettes Unternehmen stoppt, ...)
  2. Passwörter (Was ist ein gutes Passwort, wie wird es gespeichert, verwenden Sie niemals dasselbe PW für verschiedene Konten, ...)
  3. Sperren Sie den Bildschirm beim Verlassen des Arbeitsplatzes (Weil ...? Haben Sie keine guten Beispiele dafür gefunden, was passieren könnte, hat dies auch eine hohe Priorität?)
  4. Sollte ich ein Hacking-Beispiel zeigen, um zu visualisieren, was es ist ? Zum Beispiel sind ältere Telefone / Tablets mit Open-Source-Software ziemlich schnell knackbar.
  5. Social Engineering (2 Kollegen erhielten einen Anruf und wurden Opfer des CLSID-Betrugs, Türgleiten, USB bleibt auf dem Parkplatz, ...)
  6. Internetsicherheit (NoScript, Flash / JS deaktivieren, was Phishing ist, ...)
  7. Backups
  8. E-Mail-Verschlüsselung
  9. Schutzmaßnahmen (Betriebssystem auf dem neuesten Stand halten, Antivirensoftware verwenden, das Administratorkonto nicht als Standard verwenden, ...)
    10. ol>

    Ich weiß nicht, welche Themen obligatorisch sein sollten und in welchen welche Reihenfolge. Das Training kann 1 oder sogar 2 Stunden dauern. Ich würde auch einige Spickzettel erstellen, damit sie einige schriftliche Informationen, weiterführende Literatur usw. wegnehmen können.

In Bezug auf 3. können Sie einige Zahlen darüber ziehen, wie viele Verbrechen von Insidern begangen werden.Und wie wäre es ein lebensveränderndes Problem, wenn ein echtes Sicherheitsproblem auf eine unschuldige Person zurückgeführt würde, die seinen Benutzer X ausführen ließ, während er Kaffee holte.Ich bin sicher, dass viele nicht die Gefängniszeit verbringen möchten, um zu vergessen, Windows + L zu treffen.
@SimplyG.Ich dachte ähnlich, fand aber kein gutes Beispiel.Wenn der Arbeiter seinen Platz unverschlossen lässt, könnte ein anderer Benutzer seinen Computer benutzen und ... X?Während X nur eine kurze Zeit in Anspruch nehmen würde (Surfen auf einer speziellen Website) und einen hohen Einfluss haben würde.
Auf # 5 würde ich definitiv auch Spear-Phishing erwähnen, das immer häufiger vorkommt (http://krebsonsecurity.com/2016/02/phishers-spoof-ceo-request-w2-forms/).
Suchen Sie ein Flash-Laufwerk mit einem Virus in der Firmware und demonstrieren Sie es mit einem Testcomputer.Wenn Sie mit einer Demonstration beginnen, dass "nichts gutartig ist", können Sie die Leute leicht dazu bringen, über all die gutartigen Dinge nachzudenken, die sie tun ...
Diese Frage ist sehr, sehr weit gefasst.Was in einem Corporate Sec Awareness-Programm behandelt werden muss, hängt von den Geschäftszielen der Organisation, dem technischen Niveau des Publikums und den verfügbaren Ressourcen ab.Die Darstellung des Sicherheitsbewusstseins hängt von all diesen Faktoren sowie vielen anderen Faktoren ab, einschließlich Kultur, Demografie usw.
Es kann hilfreich sein, wenn Sie einige Kriterien angegeben haben oder welche spezifischen Effekte Sie durch Sensibilisierungstraining erzielen möchten.Zum Beispiel erwähnen Sie Phishing nicht.Gibt es einen Grund für diese Unterlassung?Haben Sie sich kostenlose Online-Ressourcen angesehen, die SecAwareness-Materialien bereitstellen?
Sie können sich das grundlegende Computersicherheitstraining der US-Regierung für Ideen ansehen.Es ist ein ~ 2-stündiges interaktives Flash-Programm, das die grundlegende Betriebssicherheit (z. B. lassen Sie die zufällige Person nicht an Ihre Bürotür klopfen) sowie die grundlegende Computersicherheit abdeckt.Es ist ein paar Jahre alt (Flash-basiert, hat ein Telefon, das wie eine Brombeere aussieht usw.), bietet aber eine gute, wenn auch paranoide Grundversorgung.(Wenn Sie noch nicht damit gearbeitet haben, überspringen Sie den Teil zum Schutz von Verschlusssachen. Sie haben nicht das Vokabular, um diese zu verstehen.) Http://iatraining.disa.mil/eta/cyberchallenge_v3_fy15/launchPage.htm
# 3 - Ein "guter" Hacker könnte Ihre Identität innerhalb von 90 Sekunden auf Ihrem Computer stehlen.Leiten Sie eine Reihe vertraulicher Dokumente von Ihrem Computer weiter ... Kopieren Sie alle Ihre Passwörter, die Sie in Ihrem Browser gespeichert haben ... usw.
@schroeder: Ich habe über mehrere Tage oder sogar Wochen nicht an ein vollständiges Programm gedacht.Ich mache gerade ein kurzes Projekt in dieser Firma und werde dann zu einem anderen gehen.Aber Sie haben Recht, die Zielgruppe allein ist ein großer Parameter.... Für den Phishing-Teil: In Punkt 6, letzter Eintrag, erwähnte ich "Was ist Phishing".
@iAdjunct Wenn Sie solche Dinge mögen, warum nicht den sogenannten USB Slayer verwenden?Siehe https://www.indiegogo.com/projects/usb-slayer#/ (Ich bin nicht mit diesem Typen verbunden).Vielleicht möchten Sie jedoch einen anderen Computer kaufen.
@A.Darwin ist jedoch nicht besonders hilfreich, um einen Computer zu hacken ... Es sei denn, Sie vergleichen ihn mit dem Hacken mit einer Axt.
@iAdjunct Ich habe sowohl Spaß gemacht als auch vorgeschlagen, dass dies eine beeindruckendere Methode sein könnte, um den Menschen beizubringen, dass "nichts gutartig ist".Stellen Sie sich außerdem vor, Ihr Unternehmen verfügt über einen ungeschützten Webserver, der von einem inkompetenten Administrator verwaltet wird.Wenn jemand den Administrator davon überzeugt hätte, einen USB-Slayer in den Webserver einzufügen, wäre das Ergebnis dann nicht ein vollständiger Integritätsverlust?Ich bin damit einverstanden, dass es sich um einen sehr groben Angriff handelt, aber dann kann sogar ein DoS-Angriff in Betracht gezogen werden.
@A.Darwin - guter Punkt.Auf einem Parkplatz könnte jemand denken, es sei nur ein Flash-Laufwerk - und es statistisch in ein Unternehmensnetzwerk einbinden.
Eine Sache, die mir aufgefallen ist, ist, dass die Leute das Konzept der Automatisierung nicht verstehen.Denken Sie also eher an Sicherheit in Bezug auf die menschliche Geschwindigkeit.Es wäre eine gute Idee, ihnen zu zeigen, dass eine einfache Aufgabe, die das Publikum verstehen kann, mit geringem Aufwand tausende Male innerhalb eines Zeitrahmens wiederholt werden kann, in dem ein Mensch keine Zeit hat, etwas zu tun.Sobald du das verstehst, beginnen sie zu verstehen, warum sie ins Visier genommen werden.
@iAdjunct * "Finden Sie ein Flash-Laufwerk mit einem Virus in der Firmware" * Haben Sie jemals eines dieser faszinierenden Wunder / Greuel der Technologie gefunden?Ich habe nicht - es ist alles schlechte Malware, die sich in ausführbaren Dateien, Jars, PDFs und was haben Sie.Ich war noch nie nah genug an einem hochwertigen Ziel, damit jemand NAND-Hacking oder etwas Niedriges auf diesem Kaliber versuchen konnte (oder vielleicht habe ich es einfach nicht bemerkt), aber ich wäre neugierig, ein Beispiel dafür zu sehen.
Wie die Deaktivierung der Flash-Idee im Besonderen
Sieben antworten:
Kjartan
2016-04-06 18:36:09 UTC
view on stackexchange narkive permalink

Ich habe vor etwas mehr als einem Jahr eine ähnliche Präsentation gemacht und viel Zeit damit verbracht, zu entscheiden, wie ich sie strukturieren soll. Zu meiner Zielgruppe gehörten Entwickler und andere Personen, die sich mit IT gut auskennen, aber auch Manager und andere Nicht-Programmierer. Deshalb habe ich versucht, sie ziemlich allgemein und nicht technisch kompliziert zu halten. Wie jemand anderes betonte, ist es meiner Meinung nach wichtig, nicht langweilig zu wirken. Sie möchten, dass dies ein aufschlussreiches Gespräch ist, das den Menschen hilft, zu erkennen, dass dies etwas ist, an das sie denken sollten, und nicht nur eine weitere Liste trostloser Aufgaben, die der tatsächlichen Arbeit im Wege stehen.

Zu diesem Zweck habe ich versucht, die gesamte Präsentation auf das Konzept der Sicherheitskultur zu konzentrieren, anstatt direkt auf zu viele technische Details einzugehen. In diesem Sinne habe ich es immer noch geschafft, viele der Themen anzusprechen, die Sie in Ihrer Frage erwähnt haben.

Einige der Dinge, die ich in meinem Vortrag erwähnt habe

(oder die ich heute ansprechen würde, wenn ich einen weiteren ähnlichen Vortrag halten würde):

  • Vertraulichkeit , Integrität und Verfügbarkeit (CIA): Die zentralen Themen der Informationssicherheit und einige wichtige Worte darüber, warum diese sowohl für Ihr Unternehmen als auch für Einzelpersonen wichtig sind (wenn Sie den Menschen eine kleine Anleitung geben können, die ihnen hilft Bleiben Sie auch über den Arbeitsplatz hinaus sicherer, dann ist das nur ein Plus, oder? Es könnte auch dazu führen, dass einige Ihnen mehr Aufmerksamkeit schenken - insbesondere, wenn Sie auch die Sicherheit ihrer Kinder / Familie berühren.
  • Ein paar Worte zum Konzept der "Sicherheitskultur" ("Kultur" wie in " eine Reihe von Ideen, Gewohnheiten und sozialen Normen, die einer bestimmten Personengruppe gemeinsam sind "). oder so ähnlich und die Idee, dass Sicherheitsbewusstsein ein bewusster Teil davon sein sollte).
  • Ziele des Denkens über Sicherheit: Reduzierung des Risikos unerwünschter Vorfälle, Vorbereitung auf deren Behandlung, falls / wenn sie trotzdem auftreten.
  • Kosten im Auge behalten (oder Return on Investment , wenn Sie möchten); Überlegen Sie, mit welchen Maßnahmen Sie am einfachsten beginnen können und welche am sinnvollsten sind. Ich würde hier ein paar Worte über gute Gewohnheiten einfügen; Dinge wie aktualisieren Sie Ihre Systeme, verwenden Sie gute Passwörter und vermeiden Sie das Klicken auf verdächtige Links, achten Sie auf die physische Sicherheit (Tailgater!) usw. Fügen Sie möglicherweise einige Beispiele aus realen Ereignissen hinzu, einschließlich Screenshots von Nachrichtenartikel über Sicherheitsverletzungen usw.?
  • Stellen Sie einige Fragen, die sich auf die Art der Schwachstellen oder Bedrohungen beziehen, die für Ihr Unternehmen relevant sein könnten, und vieles mehr. Beispiele: Was sind die "Kronjuwelen" unseres Geschäfts? Was ist für uns am wichtigsten und was kann sie bedrohen? Wie sicher sind wir heute, wie sicher möchten wir sein und wie können wir in Zukunft dorthin gelangen? In welchen Bereichen möchten wir unsere Sicherheitshaltung verbessern? Hier geht es nicht darum, den Menschen eine Checkliste mit den zu erledigenden Aufgaben zu geben, sondern sie dazu zu bringen, über den gesamten Bereich der Sicherheit im Allgemeinen nachzudenken und Verantwortung zu übernehmen Teile davon selbst.
  • Geben Sie einige Beispiele für typische Sicherheitsrichtlinien an und fragen Sie Ihr Publikum, ob eine dieser Richtlinien (oder ähnliche) für Ihren Arbeitsplatz in Betracht gezogen werden sollte.

Oh und noch etwas: Wenn Sie einige geeignete Beispiele aus der Praxis für Sicherheitsprobleme hinzufügen, wird Ihr Publikum unterhalten (aber übertreiben Sie es nicht).

Ich weiß nicht, ob dies genau das ist, wonach Sie gesucht haben, aber ich hoffe, dass es von Nutzen sein kann. Viel Glück bei Ihrer Präsentation.

Haben Sie die Bedrohungsmodellierung in den Vortrag aufgenommen, oder haben Sie das mit dem vorletzten Punkt gemeint?
@forest Nicht wirklich, zumindest nicht im Detail.Ich habe es nur angesprochen, indem ich einige Beispiele aus dem Kopf gegeben habe, in denen wir Raum für Verbesserungen haben könnten.Im Wesentlichen lautete meine Botschaft wie folgt: "* Sicherheit ist wichtig. Wissen wir genug darüber, oder sollten wir vielleicht versuchen, eine angemessene Bedrohungsmodellierung durchzuführen, um unsere eigene Sicherheitshaltung zu klären und weitere Schritte in Betracht zu ziehen? *".
Jared Smith
2016-04-07 00:03:15 UTC
view on stackexchange narkive permalink

Keine der vorhandenen Antworten erwähnt dies und es ist zu lang für einen Kommentar, auch wenn es keine gründliche Antwort ist.

Eine Sache, die Sie unbedingt vermeiden müssen Publikum ist Nihilismus (dh ich werde gehackt, egal was ich tue). Es ist ziemlich einfach, Leute weniger zu erschrecken (und je nach den Umständen verlockend unterhaltsam). Aber ein großer Teil des Verkaufs von Sicherheitskultur wird, wie Sie sagen, das Publikum davon überzeugen, dass eine sinnvolle Verbesserung der Sicherheit sowohl a) nicht übermäßig schmerzhaft als auch b) unmöglich ist.

Auch Oft ist die Einstellung, der ich besonders unter Millenials begegne, dass Sicherheit unmöglich oder wenn möglich so schwierig ist, dass sie nicht funktioniert. Zur Hölle, ich weiß besser und fühle mich manchmal immer noch so.

Ich empfehle, jedem Beispiel aus der realen Welt (ob Story oder Live-Demo) ein einfaches Beispiel zu geben Schritte (vorzugsweise "Schritt" Singular), um das gleiche Schicksal zu vermeiden.

Ich denke, das ist ein sehr wichtiger Punkt, den ich definitiv einbeziehen werde!Meine Kollegen, die ihre Konten gehackt haben, waren zu verlegen, um es 2 Tage lang jemandem zu sagen, da "gehackt werden" bedeuten könnte, dass sie etwas Dummes getan haben, wie ein schlechtes Passwort zu verwenden.Wäre der Hacker schlauer oder böser, hätte er viel mehr tun können.Wenn Sie angegriffen werden, müssen Sie ruhig bleiben und versuchen, den Schaden so weit und so schnell wie möglich zu mindern, während Sie analysieren, was passiert ist, und diese Sicherheitslücke schließen.
Genau.Zerstreue etwas FUD.
Das heißt, es kann sehr gut sein, dass "Sicherheitskultur" ein Nettoverlust ist.Es gab ein großartiges Papier zu diesem Thema von Microsoft Research - http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf Sie möchten die Sicherheit nicht ignorieren, aber SieIch möchte viel davon * außerhalb * der Kompetenz des tatsächlichen Benutzers platzieren (z. B. sollte der Systemadministrator ordnungsgemäße Zertifikate usw. führen).Ich möchte das Papier nicht vereinfachen, aber es geht im Grunde genommen um die Risiko-Ertrags-Analyse und die Opportunitätskosten sowie um die Praktikabilität eines Großteils der Sicherheitsratschläge.
@Luaan Nach dem Lesen des Abstracts würde ich sagen, dass Sie trotz des Alters dieser Frage und der Anzahl der vorhandenen Antworten wahrscheinlich eine Antwort mit Daten aus dem Papier als warnenden Kontrapunkt schreiben sollten.
@Luaan: Das Papier war ziemlich interessant ("tanzende Schweine!"), Da es einige Ideen hatte, die andere möglicherweise kontrovers finden.Einer der wichtigsten Punkte ist, dass wir Benutzer darin schulen, übermäßig komplizierte Regeln zu ignorieren, um die Sicherheit zu erhöhen, was wiederum häufig den gegenteiligen Effekt hat.Ich denke, Jared Smiths Rat, eine kontroverse Antwort zu schreiben, könnte einige wertvolle Punkte auf diese Frage bringen!
Eine der Taktiken, mit denen Sie vermeiden können, Ihr Publikum zu erschrecken, ist die Verwendung einer Analogie der altmodischen physischen Sicherheit.Sie können einen motivierten Dieb nicht davon abhalten, ein Auto zu stehlen oder in ein Haus einzubrechen.Aber Sie können es ihnen schwerer machen als dem Auto oder dem Haus eines anderen.Sicherheit ist niemals absolut, und es gibt fast immer Abhilfemaßnahmen, die Sie im schlimmsten Fall anwenden können.Backups zur Wiederherstellung eines Nuked-Systems.Versicherung für ein gestohlenes Auto.Das Leben ist nicht mit einer Sicherheitsgarantie verbunden.Scheiße passiert.In Selbstverteidigungskursen ist es am wichtigsten, nicht bestimmte Techniken zu unterrichten, sondern das Bewusstsein.
MPS
2016-04-08 06:34:54 UTC
view on stackexchange narkive permalink

Es ist für sie so unwirklich, dass der einzige Weg, es festzuhalten, darin besteht, sie anhand eines Beispiels aus dem wirklichen Leben zu zeigen.

Fragen Sie sie: Wer weiß Was ist Phishing?
Fragen Sie sie: Welche Art von durchgesickerten Informationen wäre problematisch?
Sie sagen: Wenn das Dokument ThisIsImportant.doc mit Buchhaltungsinformationen zu Kunde C durchgesickert wäre.
Fragen Sie sie: Wer hat Zugriff an ThisIsImportant.doc?
Sie sagen: Patrick

Dann sagen Sie ihnen: Also, lassen Sie alle zusammen eine Phishing-E-Mail an Patrick senden, der vorgibt, Patricks Chef zu sein!

Öffnen Sie das Terminal (mit grüner Schrift, wichtig!) vor ihren Augen.
LIVE "Hacking"! Sie lieben es!

1) ssh in den Mailserver
2) touch mail.txt
3) vim mail. txt 

  An: partick@yourCompany.comSubjekt: Patrick, ich brauche Kunden-C-Info. Von: Patricks Boss<patricksBoss@yourCompany.com>Dear Patick, ich bin ein bisschen in Schwierigkeiten Bitte senden Sie mir ThisIsImportant.doc, damit ich eine Antwort vorbereiten kann. Mit freundlichen Grüßen, Ihr Chef!

4) : x! 5) sendmail -vt < mail.txt

Bitten Sie nun Patrick, seine E-Mail zu öffnen, und jeder wird ein E-Mail-Formular von Patricks Boss sehen, vor dem Sie geschrieben haben ihre Augen .

Für sie gelernte Lektion:
Sie sollten einem Namen / einer Marke / einer Uniform / usw. nicht blind folgen. und benutze den gesunden Menschenverstand.

Danach kannst du ihnen alle anderen Dinge erzählen, weil sie dir jetzt glauben, wie real es tatsächlich ist.

Ein Jahr später werden sie jedoch immer noch die Geschichte erzählen, wie Sie Partick "gehackt" haben, indem Sie sich als sein Chef ausgaben.

Sehr gutes Beispiel;Ich bin damit einverstanden, dass dies * definitiv * vermitteln würde.Sie fragen sich jedoch, warum Sie sich die Mühe machen, "mail.txt" zu berühren, bevor Sie es in "vim" öffnen?:) :)
Ich bin kein Legal, aber ich würde dies nicht tun, ohne zumindest von Patricks Chef autorisiert zu werden.
@A.Darwin, wenn Patrick im Publikum ist, verstehe ich nicht, warum es wichtig wäre.
symcbean
2016-04-06 17:26:13 UTC
view on stackexchange narkive permalink

Auf der einen Seite sagen Sie, Sie möchten Workshops durchführen, auf der anderen Seite tauchen Sie mit Menschen mit begrenzten Sicherheitskenntnissen in einige ziemlich schwierige Kernthemen ein. Während ich Ihre Bemühungen begrüße, würde ich, wenn ich es wäre, versuchen, das Bewusstsein zu schärfen und die Menschen dazu zu bringen, über Sicherheit nachzudenken, anstatt nur Death-by-Powerpoint / etwas zu präsentieren, das als ein weiteres Häkchen rüberkommt. Ich schlage nicht vor, dass Sie nicht über alle Dinge sprechen sollten, die Sie aufgelistet haben, aber wenn Sie einen Tag nur damit verbringen, werden Sie Ihr Publikum langweilen. OTOH, wenn Sie ihr Herz und ihren Verstand gewinnen können, werden sie bei ihrer täglichen Arbeit über nachdenken und

untersuchen, wie sie als Privatpersonen angegriffen werden könnten Dies. Eine andere Möglichkeit besteht darin, sie dazu zu bringen, einen Angriff auf ein beliebiges Ziel zu planen.

Welche Themen würden Sie als Hardcore betrachten?Und ja, nicht langweilig zu werden, könnte eine der größten Herausforderungen sein.
@hamena1234 Ich denke, # 4 könnte von einem nicht-technischen Publikum als Hardcore angesehen werden.
@A.Darwin: Hm, ich dachte mehr daran als Demonstration "Ich werde dieses Tool starten ... und 20 Sekunden später habe ich Zugriff auf Ihr Gerät."Der jüngste iOS-Fehler, durch den Benutzer mithilfe von SIRI und NO-Passwort auf die Bilder auf dem Telefon zugreifen konnten, könnte eine solche Demonstration sein.Ich möchte den Leuten nicht zeigen, wie man einen Pufferüberlauf oder ein solches Detail programmiert.
@hamena314 Ich habe überhaupt nicht an Pufferüberläufe gedacht (das wäre ein Overkill).Ich persönlich denke, dass es befriedigender sein könnte, zu erklären, wie ein Werkzeug funktioniert, als nur zu zeigen, was das Werkzeug kann (was manchmal wie schwarze Magie aussieht), und wenn dies der Fall ist, gibt es einige Angriffe, die einige technische Kenntnisse erfordern.Wenn Sie jedoch der Meinung sind, dass Ihr Publikum zufrieden sein kann, indem Sie erklären, dass bestimmte Angriffe existieren, und indem Sie eine kurze Demonstration zeigen, sollten Sie sich dafür entscheiden.Sie können beispielsweise versuchen, einen Phishing-Angriff anzuzeigen.
Adam Dewing
2016-04-07 04:07:21 UTC
view on stackexchange narkive permalink

Zeigen Sie ihnen einen Passwort-Manager wie LastPass oder KeePass.

Fast jeder, den ich kenne, hat eine TONNE Benutzer-IDs und Passwörter. Um sie besser in Erinnerung zu behalten, verwenden sie beispielsweise dieselben Kennwörter, schreiben sie auf Haftnotizen oder speichern sie in unverschlüsselten Textdokumenten.

Zeigen Sie ihnen stattdessen, wie Sie einen Kennwortmanager verwenden. Ich habe einigen meiner Nicht-IT-Freunde gezeigt, wie man LastPass verwendet. Jetzt verwenden sie eine sehr starke Passphrase, um in den Passwort-Manager zu gelangen und alle ihre Anmeldungen verwalten zu lassen. Sie lieben es!

Ich bin mir ziemlich sicher, dass es bei dieser Frage um professionelle Sicherheit geht * Training *, nicht darum, deinen Freunden beizubringen, wie man ein bisschen sicherer ist, wenn sich ein Typ in deine E-Mail einloggt und deine Akte stiehlt.
Wenn eines der Themen lautet "Was ist ein gutes Passwort, ** wie man es speichert **, niemals dasselbe PW für verschiedene Konten verwendet", dann ist das Publikum eindeutig auf einer Ebene, auf der es sinnvoll ist, Passwortmanager zu erklären.
Das IT-Sicherheitsteam meines Unternehmens bietet tatsächlich einen Kennwortmanager und Online-Schulungen für die Verwendung in unserer Unternehmensumgebung an.Es ist anscheinend ein kleiner Teil ihres gesamten Sicherheitsplans.
Vegard
2016-04-07 16:43:30 UTC
view on stackexchange narkive permalink

Im Allgemeinen gilt: Je mehr Sicherheitsmaßnahmen Sie vom Benutzer entfernen können, desto besser!

Zum Beispiel:

  • Dateispeicher sollte, falls verfügbar auf einem zentralen Server durchgeführt werden. Angenommen, Sie verfügen über Ressourcen mit ausreichender Kompetenz, um dies korrekt einzurichten, ist es einfacher, unternehmensweite Sicherungen zu verwalten, die von geschulten Personen durchgeführt werden, als jedem Mitarbeiter beizubringen, wie private Sicherungen durchgeführt werden (und ihn dazu zu bringen, sich daran zu erinnern!)

Wenn Ihre Umgebung dies unterstützt, verwenden Sie gegebenenfalls Windows-Domänen- / Active Directory-Verwaltungsrichtlinien (z. B. zum Einführen von Bildschirmzeitüberschreitungen beim Entsperren nur mit Kennwörtern oder zum Erzwingen von Kennwortlängen- / Zeicheninhalten sowie in regelmäßigen Abständen Kennwortänderungen).

Kommentare zu Ihren Vorschlägen:

1. Halten Sie es einfach - Computersicherheit = Schutz Ihres Unternehmens Vermögenswerte. Information ist Macht und Information kann sogar Geld im direkteren Sinne sein (Geschäftsgeheimnisse usw.). Ihr spezifisches Argument hängt davon ab, welche Art von Arbeit Ihr Unternehmen leistet und was / wie Sie es speichern. Das Wesentliche sollte jedoch immer sein, dass der unbefugte Zugriff auf ein Computersystem Ihrem Unternehmen großen Schaden zufügen kann, entweder durch Zerstörung oder Diebstahl (oder beides) ).

2. Tun Sie dies auf jeden Fall, aber verwenden Sie, wie bereits erwähnt, technische Tools, um so viele Regeln wie möglich durchzusetzen und die Verantwortung für den Endbenutzer zu verringern.

3. Auf jeden Fall! Es ist kein sehr häufiger Angriffsvektor, aber es ist eine der einfachsten "Korrekturen". Daher sollte es sofort implementiert werden. Stellen Sie Erinnerungen in der Nähe der Arbeitsplätze oder an den Ausgängen auf.

4. Vermeiden Sie dies, es sei denn, Sie finden bestimmte Beispiele, auf die sich Ihre Mitarbeiter direkt beziehen können (weil Sie dieselbe Hardware / Software oder ähnliches verwenden). Wenn Sie diesen Weg gehen, KISS - verlieren Sie sich nicht im Fachjargon. Verwenden Sie so oft wie möglich allgemeine Konzepte und nichttechnische Begriffe. Nehmen Sie sich weniger Zeit, um das Problem zu erklären, und mehr Zeit, um das richtige Verhalten für den Benutzer zu beschreiben.

5. Dies kann leicht zu den gefährlichsten Angriffsvektoren und gleichzeitig zu den gefährlichsten gehören Es ist am schwierigsten, Ihren Mitarbeitern beizubringen, wie man sich davor schützt. Speichern Sie es zum Schluss - Sie möchten, dass Ihre Mitarbeiter die "sicherheitsbewusste Kultur" annehmen, bevor Sie sich mit diesem speziellen Thema befassen. Je mehr sie bereits über sichere Verfahren wissen und darüber nachdenken und wie wichtig es ist, die Autorisierung und die korrekten Protokolle sicherzustellen, desto einfacher wird es zu verstehen, wie ein Dritter versuchen kann, diese Hindernisse zu überwinden.

6. Auf jeden Fall - verwenden Sie Gruppenrichtlinien, um Flash, Active-X oder NoScript usw. zu blockieren, wenn dies überhaupt möglich ist! Je mehr dieser Abhilfemaßnahmen Sie hinzufügen können, ohne dass der Benutzer etwas tun oder verwalten muss, desto besser.

9. Wenn Sie dies zentral tun können, ist dies wiederum der Fall sei umso besser. Nach Ihrer Frage zu urteilen, klingt dies möglicherweise nicht für Ihr Unternehmen?

Was die Bestellung betrifft, würde ich dieselbe Bestellung empfehlen, in der die Probleme auftreten könnten. Das heißt: 

  Benutzeranmeldung (Passwörter, Sperrbildschirm) - Start des >-Programms (Viren, Backups) - Verwendung des >-Programms (Phishing, Social Engineering, "schlechte" Downloads / Anhänge).   vor>
Sehr interessante Ideen, ich mag besonders Punkt 9 ... Ich könnte sogar einen Schritt früher anfangen: Das Auto auf dem Parkplatz stehen lassen (keine verdächtigen USB-Sticks aufheben), das Gebäude betreten (sich nicht von Leuten schließen lassen) usw. Scheintwie mein "Kollege Bob" wird einen Arbeitstag voller Hacking-Angriffe haben und wir werden sehen, wie er sie erkennt und sich gegen sie verteidigt!(Wenn ein Avatar diese Ereignisse erlebt, kann dies dazu beitragen, dass die Menschen einen anderen Standpunkt einnehmen.)
Wenn Sie der Meinung sind, dass es sich um eine echte Bedrohung handelt, können Sie bereits beginnen, wenn der Mitarbeiter morgens aufwacht!Jeder Anrufer oder jede E-Mail, die am persönlichen Telefon / Posteingang / vor der Haustür des Mitarbeiters eingeht und nach arbeitsbezogenen, auch unauffälligen Dingen fragt, sollte an den zuständigen Chef usw. weitergeleitet werden
Raystafarian
2016-04-07 13:14:28 UTC
view on stackexchange narkive permalink

Ich denke, Kjartans Antwort ist genau richtig, aber im Allgemeinen gibt es im Hinblick auf das Sicherheitsbewusstseinstraining nur einige Hauptkomponenten.

  1. Was schützen Sie? Informationen, Daten und Wissen - die Treiber für jeden Aspekt Ihres Unternehmens.
  2. Warum muss es geschützt werden? CIA + Nicht-Zurückweisung. Ich denke, es ist wichtig zu erklären, warum es wichtig ist, dass Benutzer keine Anmeldeinformationen teilen.
  3. Wie Benutzer Ihnen beim Schutz helfen können. Nur ein paar Grundregeln, um nicht auf Links zu klicken, Informationen herauszugeben, Flash-Laufwerke aufzunehmen und anzuschließen - die grundlegenden Dinge.
  4. Beispiele für aufgetretene Vorfälle und die damit verbundenen Kosten in Geld und Reputationsschaden.
    5. ol>

    Wenn Sie noch weiter gehen müssen, ist es eine gute Idee zu erklären, welche Richtlinien &-Verfahren sind und warum sie befolgt werden sollten. Einfach ausgedrückt für nicht IT- und nicht geschäftsorientierte Personen. Und dann setzen Sie es in geschäftliche Begriffe für die höhere Ebene der Mitarbeiter und wie das, was vereinbart wurde, als das richtige Sicherheitsniveau für und Geschäftsabläufe angesehen wurde (z. B. warum diese Dinge existieren, außer dass sie nur ein Hindernis dafür sind Sie müssen überwinden, um einfach ihre Arbeit zu erledigen. Ich denke, das ist der Schlüssel, mit dem normale Benutzer zu kämpfen haben - " lass mich einfach meinen Job machen! "



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...