¿Existe un programa efectivo de concientización de los empleados de ingeniería social?

3

La ingeniería social se cita como uno de los principales vectores de amenaza (consulte, por ejemplo, en: enlace ). La capacitación sobre concientización de los empleados también se cita como uno de los mejores medios para mitigar esta amenaza (consulte el mismo artículo vinculado anteriormente).

Mi empresa tiene un módulo de capacitación por computadora de 20 minutos sobre conciencia y prevención de ingeniería social que se entrega una vez al año. Pero soy un tipo de seguridad informática y tengo problemas para recordar lo que decía, así que cuestiono su efectividad.

¿Existe algún conocimiento o consenso de la industria sobre lo que constituye un programa efectivo de concientización sobre ingeniería social? Si es así, ¿cuáles son las características de dicho programa?

    
pregunta Stone True 02.12.2015 - 13:10
fuente

3 respuestas

5

Tenga en cuenta que estoy escribiendo un libro sobre este tema.

La ingeniería social consiste en hacer que las personas hagan algo. Para combatir eso, necesitas entrenar a tus usuarios para hacer algo más. Un video de 20 minutos una vez al año no es un medio eficaz para afectar el comportamiento de alguien.

La capacitación continua y recurrente, integrada en las rutinas de trabajo normales del usuario, es el método más eficaz para cambiar los comportamientos. Además, los escenarios simulados (simulacro de suplantación de identidad, etc.) para que los usuarios tengan la oportunidad de practicar sus habilidades de manera segura, pueden cimentar los nuevos comportamientos a largo plazo. Hay mucha investigación y estudio sobre la efectividad de este enfoque.

La conciencia de seguridad no es un ejercicio de "disparar y olvidar". Requiere un "goteo lento" de conocimiento, entrenamiento y práctica que es apoyado por un equipo de seguridad accesible e incluso empático.

En mi libro, comparo el problema con tratar de que toda su fuerza laboral pierda 5 libras. Una vez que empiezas a pensar así, empiezas a ver que el problema no es "¿cuál es el mejor video para mostrar?" sino más bien, "¿cómo ayudar a cada persona todos los días?"

    
respondido por el schroeder 02.12.2015 - 16:30
fuente
0

El problema principal con la conciencia de seguridad es que se trata en gran parte de la "fruta de bajo rendimiento". En mi experiencia, las campañas de ingeniería social pueden ser menos sofisticadas cuanto más amplias son. Si se dirige a la fuerza laboral de toda una gran empresa, solo necesita algo que parezca semi-coherente para que algún empleado de escritorio carente de cafeína haga clic en el enlace / abra el documento.

A medida que se dirige a grupos o individuos más específicos, se necesita investigación, preparación y cuidado adicionales para lograr el mismo nivel de éxito (es cierto, puede hacer una campaña personalizada para una audiencia más amplia y tener una mayor aceptación, pero la adaptación tiene el problema inherente de volverse más específico al grupo). Los ataques más sofisticados se distinguen menos de la actividad cotidiana habitual de los trabajadores (no se puede verificar manualmente todos y cada uno de los correos electrónicos que recibe).

Con todos estos ataques, todo lo que se necesita es una tasa de retorno increíblemente pequeña para que se considere exitoso. Su capacitación en conciencia de seguridad debe convertirse en una segunda naturaleza no solo para sus expertos jefes de tecnología, sino también para el personal administrativo más mundano y los ejecutivos ocupados. Todas las personas involucradas deben tener esa idea inmediata cada vez que llegue un correo electrónico posiblemente sospechoso. Debe adaptarse a la estructura de su organización, a la forma en que opera y al aspecto externo.

Es más probable que un conjunto de materiales de capacitación de talla única no se ajuste a nadie es genérico y "bueno, sí, pero eso no se aplica a yo lo hace? ". He buscado algo que se parece a una plantilla estándar, pero no he encontrado mucho de nada por encima de las viñetas de lo que debería estar contenido.

    
respondido por el Jozef Woods 02.12.2015 - 17:14
fuente
-1

En la última versión de las certificaciones reconocidas en la industria, como CISSP y CEH, se incluyen directrices generales sobre la concienciación sobre cómo evitar los ataques de ingeniería social.

Los cursos de capacitación en línea de sitios como Udemy y plurasight también tienen materiales suficientes y efectivos.

    
respondido por el Raghu Kulkarni 02.12.2015 - 15:15
fuente

Lea otras preguntas en las etiquetas