推特’■安全意识的谱系

安全意识培训是一个问题,并继续在线和离线进行热情辩论。

它也是阿姆斯特丹的盒子会议的黑客似乎有点不合适的话题,但Twitter信息安全总监Bob Lord在他周四提出了一些有趣的观点’他分享了他的公司的主题演讲’对此事的同时也是成功的实验。

他首先指出,信息安全专业人士倾向于寻求完美,这意味着最常见的是,他们倾向于解除安全意识培训的整个概念,因为它已经证明有缺陷。

其次,他分享了他和推特’不集中提高意识的方法,但改变员工行为,习惯和行动创造安全文化。“我们如何做出正确的方式成为我们公司的默认事项?”他们问自己。

他的团队坐下来思考一系列核心价值观,这将使创建它更容易,并提出了一些“prescriptions.”

在解决有效的安全培训问题时,主和他的团队决定选择一群新员工,作为完美的科目来测试他们的方法。他们不仅可以从公司职业生涯的开始追踪他们的行为,但他们也有机会解决一个俘虏观众,更有可能在他们日常工作中陷入困境之前做出他们所说的。

主队以自己的方式拿出了最初的谈话,表明这件事很重要,而且他愿意花时间去做。

培训专注于密码选择和使用,网络钓鱼意识和物理访问安全,据他介绍,员工’对其他类型的错误罚款。事实上,他们被邀请与上级分享他们并问“dumb”问题是为了学习什么是良好的做法和什么’s not.

在Twitter时,每个人都是必需的,并强烈鼓励使用密码管理器。部分初始演示文稿旨在将其设置为以更改分配的密码,以便在正确的方式将其设置为每天使用它。

他们通过这种方法取得了一些成功,并了解到,一些用户在他们开始后的最初几周内使用密码拱顶停止,但那些人“survived”这三四周成为了长期用户。最终,这种行为的整体采用率最终达到75%以上,这是一个很大的结果。

但这一切都是不可能的,这不是团队’■对其结果的不断评估,使改变使培训更有效,并且不断提供反馈。

反馈在致力于网络培养意识的培训方面也非常重要。他们建立了一个网络钓鱼警报邮件列表,鼓励他们提醒他们警惕并转发每个实际和潜在的网络钓鱼企图的团队的安全性,而该团队将自己接受了他们在几小时内的每个警报。

他们也取得了成功,在办公时间内为员工提供了自己可用的,邀请他们来谈论任何事情–即使是非安全主题–这不确定。意图是在员工和安全团队之间建立一个关系,他们知道他们开始听到的时候成功了“confessions”来自员工关于他们所做的事情,但现在认为他们可能会犯错误。

谈到学习物理访问安全性时,他们做了选择一个“mole”员工每周都会被指示不佩戴他或她的访问徽章,以便看到有多少人会注意到并要求他们展示它。这样他们就会养成质疑偏离规定行为的惯例,教导那些aren的人’穿着它们,如果他们停下来,他们应该用礼品卡给附近的咖啡馆得到奖励“mole” why he or she aren’战争徽章。再次,它是“胡萝卜代替棍子” approach.

通过持续反馈和评估完善他们的培训方法,他们完成了很多。

他们仍在调查可能带来额外改进的领域:显示社会工程视频的有效性员工,向培训添加更多游戏元素,衡量其他因素(员工在行业所花费的员工,他们的第一语言等等),也许甚至通过发布个人/团队安全分数。

主的最重要的事情永远不会放弃用户(员工),主。“It’直到你相信的是,从来没有丢失的原因。”

他建议专注于安全文化,而不是培训,并不断衡量培训的影响,以便可以反复重塑,以便更有效–这里是反馈中的反馈。

分享这个