¿Alguno de ustedes, profesionales de la seguridad, ha podido obtener métricas de desempeño de seguridad en las revisiones que los gerentes realizan para sus empleados? Si es así, ¿hay algún recurso útil que puedas compartir para que eso suceda?
Me gustaría ofrecer respetuosamente una perspectiva diferente de la respuesta y los comentarios perfectamente válidos que ya se encuentran aquí.
Estoy leyendo mucho entre líneas, pero creo que la pregunta original es tratar de lograr algo bueno (y difícil): priorizar la conciencia de seguridad a nivel departamental, con mediciones objetivas de conciencia.
El efecto es que varios gerentes son conscientes de lo buenos que son los informes directos con respecto a la seguridad de TI, y hay números difíciles a los que referirse, no incidentes individuales. No es solo otra cosa que debe tratar el departamento de RR.HH: lo está tratando como una capacitación, en lugar de una disciplina.
Creo que la seguridad de TI está tan matizada que los administradores individuales son más adecuados para evaluar sus informes directos que los recursos humanos.
El phishing es mucho más una amenaza para los gerentes senior o los controladores financieros. Es importante que sean "resistentes al phishing" porque sus cuentas tienen acceso a sistemas críticos para el negocio. No estoy preocupado si el equipo de mantenimiento tiene una puntuación baja en comparación con el phishing: es probable que sus cuentas tengan muy pocos privilegios. En contraste, el equipo de mantenimiento debe ser excelente en cuanto a seguridad física, ya que tienen acceso a todo el edificio (que puede incluir armarios de distribución, tendidos de cables, etc.)
La parte de las métricas es excelente porque es mejor tener números de un estudio cuidadoso en lugar de incidentes de un solo caso. Pero esta es la parte difícil.
Para hacer esto, necesitaría un marco bien diseñado para la evaluación constante y sistemática de cada miembro del personal, Y un "equipo rojo" que constantemente intenta integrarse en los edificios, deja el USB "malicioso" maneja en el estacionamiento de empleados, empleados de phish, correo electrónico nude-pics.jpg.exe al personal, etc. Al final del día, usted podría construir grandes medidas objetivas:
Excelente, pero muy intensivo en recursos. Luego, puede gamificar el sistema para aumentar la respuesta al comparar calificaciones entre departamentos, mejoras a lo largo del tiempo, premios por puntajes perfectos, etc.
Si planeaba derivar métricas de incidentes no formativos, del mundo real, estaría de acuerdo en que son mucho menos útiles para la capacitación y sensibilización del personal.
Esta es una respuesta simplemente porque el sistema de comentarios es demasiado corto.
Estoy de acuerdo con Panther en que las "métricas de rendimiento de seguridad" no tienen ningún significado.
Su empresa debe tener una política de seguridad y una forma de hacer cumplir dicha política. Su manual del empleado debe ser claro en cuanto a las repercusiones de violar esas políticas. Ya se trate de una bofetada en la muñeca o una terminación total. Como mínimo, debe avisar al empleado incluso por un incidente menor, con el conocimiento de que un segundo incidente resulta en la pérdida de empleo. Para cualquier infracción de seguridad "importante", como la entrega de su contraseña o, lo que es peor, la PII a alguien que no ha sido debidamente revisado, debe ser de terminación inmediata y enviar sus cosas por correo.
Los mecanismos para manejar tales cosas ya son HR 101, por lo que realmente no hay necesidad de agregar nada más a la revisión. "Oh, mira, no has violado nuestra política de seguridad. Bien por ti". o "mira, te daría el aumento, pero ya estás en el agua caliente por esa cosa del correo electrónico fraudulento de Nigeria. Inténtalo de nuevo el año que viene".
Con respecto a la capacitación en seguridad, etc., una vez más, estos deben manejarse como lo son otros elementos de capacitación relacionados con el trabajo: una partida en su carpeta. ¿Obtuvieron un bonito certificado con su nombre en él? Coolio ¿No asistieron a alguno de los entrenamientos obligatorios que serían despedidos por faltar? - Bueno, eso debería arreglarse.
Usted mencionó "resistencia al ataque de phishing" ... ¿Qué significa eso? "Oh, mira, veo que borraste 923,234 mensajes de spam de tu bandeja de entrada el año pasado. ¡Buen trabajo!" :: eyeroll ::
Sí, esta respuesta está goteando con sarcasmo. No porque no encuentre que la seguridad sea un tema que todos los empleados deben conocer. Más bien, me parece que es un tema que ya debería ser manejado por su entrenamiento normal de empleados, manual de empleados y políticas de recursos humanos existentes. Si no es así, entonces no has hecho tu trabajo ... y debería haber una línea de pedido en tu revisión anual para eso.
¿Qué ocurre con esta obsesión por la "resistencia al phishing"? ¿Qué pasa con el cumplimiento de las políticas y procedimientos de seguridad? ¿Qué hay de detectar y reportar incidentes, nuevos riesgos, nuevas oportunidades? ¿Participar activamente en las actividades de seguridad de la información y gestión de riesgos? ¿Ayudando con la planificación de la continuidad del negocio o probando las funciones de seguridad en los nuevos sistemas? .... Hay un montón de cosas relacionadas con la seguridad que hacen los empleados conscientes de la seguridad, y todas se pueden medir, si eso es lo que realmente quiere hacer.
Pero, realmente, ¿cuál es el punto?
Retroceda un par de pasos: ¿cuáles son los objetivos comerciales relacionados con la conciencia de seguridad de los empleados? ¿Qué está tratando de lograr la organización? De alguna manera, dudo en absoluto de las características de "resistencia al phishing" en la lista. Entonces, ¿por qué medirlo?
Es más probable que haya objetivos como 'Construir una cultura de seguridad fuerte' ... y medir la cultura nos lleva a una dirección de métricas totalmente diferente.
Lea otras preguntas en las etiquetas corporate-policy people-management metrics