¿Existe un programa efectivo de concientización de los empleados de ingeniería social?

Tenga en cuenta que estoy escribiendo un libro sobre este tema.

La ingeniería social consiste en hacer que las personas hagan algo. Para combatir eso, necesitas entrenar a tus usuarios para hacer algo más. Un video de 20 minutos una vez al año no es un medio eficaz para afectar el comportamiento de alguien.

La capacitación continua y recurrente, integrada en las rutinas de trabajo normales del usuario, es el método más eficaz para cambiar los comportamientos. Además, los escenarios simulados (simulacro de suplantación de identidad, etc.) para que los usuarios tengan la oportunidad de practicar sus habilidades de manera segura, pueden cimentar los nuevos comportamientos a largo plazo. Hay mucha investigación y estudio sobre la efectividad de este enfoque.

La conciencia de seguridad no es un ejercicio de "disparar y olvidar". Requiere un "goteo lento" de conocimiento, entrenamiento y práctica que es apoyado por un equipo de seguridad accesible e incluso empático.

En mi libro, comparo el problema con tratar de que toda su fuerza laboral pierda 5 libras. Una vez que empiezas a pensar así, empiezas a ver que el problema no es "¿cuál es el mejor video para mostrar?" sino más bien, "¿cómo ayudar a cada persona todos los días?"

El problema principal con la conciencia de seguridad es que se trata en gran parte de la "fruta de bajo rendimiento". En mi experiencia, las campañas de ingeniería social pueden ser menos sofisticadas cuanto más amplias son. Si se dirige a la fuerza laboral de toda una gran empresa, solo necesita algo que parezca semi-coherente para que algún empleado de escritorio carente de cafeína haga clic en el enlace / abra el documento.

A medida que se dirige a grupos o individuos más específicos, se necesita investigación, preparación y cuidado adicionales para lograr el mismo nivel de éxito (es cierto, puede hacer una campaña personalizada para una audiencia más amplia y tener una mayor aceptación, pero la adaptación tiene el problema inherente de volverse más específico al grupo). Los ataques más sofisticados se distinguen menos de la actividad cotidiana habitual de los trabajadores (no se puede verificar manualmente todos y cada uno de los correos electrónicos que recibe).

Con todos estos ataques, todo lo que se necesita es una tasa de retorno increíblemente pequeña para que se considere exitoso. Su capacitación en conciencia de seguridad debe convertirse en una segunda naturaleza no solo para sus expertos jefes de tecnología, sino también para el personal administrativo más mundano y los ejecutivos ocupados. Todas las personas involucradas deben tener esa idea inmediata cada vez que llegue un correo electrónico posiblemente sospechoso. Debe adaptarse a la estructura de su organización, a la forma en que opera y al aspecto externo.

Es más probable que un conjunto de materiales de capacitación de talla única no se ajuste a nadie es genérico y "bueno, sí, pero eso no se aplica a yo lo hace? ". He buscado algo que se parece a una plantilla estándar, pero no he encontrado mucho de nada por encima de las viñetas de lo que debería estar contenido.

En la última versión de las certificaciones reconocidas en la industria, como CISSP y CEH, se incluyen directrices generales sobre la concienciación sobre cómo evitar los ataques de ingeniería social.

Los cursos de capacitación en línea de sitios como Udemy y plurasight también tienen materiales suficientes y efectivos.