Medición de conciencia de seguridad del usuario final

13

Además de las pruebas de phishing de correo electrónico convencionales, ¿qué otros indicadores clave de rendimiento de seguridad se pueden usar para medir la conciencia de seguridad del usuario final en una organización?

Mirando el control de seguridad crítico SANS # 9 :

  
  • 9.4 Valide y mejore los niveles de conocimiento a través de pruebas periódicas para ver si los empleados hacen clic en un enlace de correo electrónico sospechoso o   Proporcionar información sensible en el teléfono sin seguir   procedimientos apropiados para autenticar a una persona que llama; entrenamiento dirigido   debe proporcionarse a aquellos que son víctimas del ejercicio.
  •   

Estoy tratando de llegar con una indicación que mire más allá de los correos electrónicos de phishing o que proporcione información confidencial por teléfono. Por ejemplo, ¿cómo sabría que las personas son conscientes de los peligros de usar USB infectados en la organización? La desactivación del uso del USB evita la violación de la seguridad, pero no beneficia la conciencia del usuario final sobre el problema. Los usuarios generalmente lo ven como un control molesto que les impide realizar sus tareas. USB es solo un ejemplo, ¿cómo sabría que los usuarios son conscientes de los peligros de compartir sus nombres de usuario? y de manera similar otras prácticas erróneas. obtener sus respuestas sobre el tema mediante encuestas es una parte, ¿existen otras indicaciones?

    
pregunta AdnanG 03.12.2014 - 11:36
fuente

5 respuestas

6

Un programa de entrenamiento rudimentario debería educar mínimamente a los usuarios sobre temas críticos. La medición de su efectividad brinda la oportunidad de garantizar que los usuarios obtengan la información relevante que necesitan para hacer su trabajo de manera segura y efectiva.

Envíe una encuesta que evalúe el conocimiento de los problemas de seguridad de la información específicos del trabajo y vea cómo puntúan sus empleados.

  1. ¿Con qué frecuencia debe cambiar su contraseña?
  2. ¿Cuáles son los métodos apropiados para transmitir información confidencial? información a un socio de negocios?
  3. Con quién es seguro discutir sus datos personales a través de teléfono?
  4. ¿Cómo puede identificar un sitio seguro?
  5. ¿Cómo puede identificar un correo electrónico seguro?
  6. ¿Qué es "phishing"?
  7. ¿Cuáles son los riesgos de seguridad en el uso de las redes sociales?
  8. ¿Qué información has puesto (o pondrías) en una red social?
  9. ¿Cómo pueden evitarse los virus informáticos?
  10. ¿Qué tipos de incidentes deben informarse?

etc.

    
respondido por el Lucas NN 03.12.2014 - 11:54
fuente
6

Al arriesgarme aquí, creo en las pruebas realizadas con simulacros regulares y ataques simulados del Equipo Rojo. Si el Equipo Rojo tiene éxito en la ingeniería social u otro tipo de compromiso, la conciencia es nula.

Razonamiento : KPI y encuestas y otras cosas, no miden e informan promedios . El atacante no está interesado en los promedios , va a atacar (citando un comentario reciente de uno de los habitantes de la Sec.SE) la computadora portátil que pertenece a la secretaria del CFO, o lo que sea más débil lugar que encuentra.

También estás buscando medidas contra la complacencia. No puedo encontrar una mejor manera de mantener a los usuarios en estado de alerta que los simulacros regulares, los controles al azar y la amenaza real de un ataque real.

    
respondido por el Deer Hunter 03.12.2014 - 12:51
fuente
2

Lo que decidimos para un KPI es la cantidad de incidentes informados. En la fase actual, decimos que queremos que se informen más incidentes: no hay suficientes personas que informen / saben que deberían hacerlo. Cuando la cantidad aumenta, esto se debe principalmente a una mayor conciencia. Desde cierto punto (no hay un aumento real y constante en los informes), cambiaremos a Menos informes de incidentes significa menos incidentes. Esto significa que aún no confiamos en los informes, pero lo haremos en el futuro.

Otro KPI podría ser la cantidad de personas realmente capacitadas: rastrearlas. El tercer KPI podría ser la cantidad de políticas que las personas recuerdan al hacer una encuesta. Sin embargo, descubrí que las personas solo completan encuestas de opción múltiple con suficiente dedicación para tomarse en serio la respuesta.

    
respondido por el johan vd Pluijm 23.11.2017 - 15:47
fuente
2

SANS Secure The Human ahora publica listas de KPI que debe tener en cuenta:

enlace

Lo dividieron en métricas de "Seguimiento" (quién completó la capacitación) y métricas de "Impacto" para intentar medir el impacto que ha tenido la capacitación.

  • número de personas que han sido pescadas con éxito a través del tiempo
  • número de personas que reportan phishing
  • número de computadoras infectadas
  • número de personas que publican información confidencial en sitios de redes sociales
  • etc.

Básicamente, cualquier comportamiento para el que se entrena se puede convertir en una métrica (número de seguimiento de personas, no el número de instancias, por razones obvias).

En mi libro ( conector descarado ), enumero una serie de tipos de métricas no tradicionales que pueden considerarse. Por ejemplo:

  • cantidad de informes falsos positivos para los usuarios en las primeras 2 semanas después de la capacitación o un impulso de conciencia
  • números de infractores reincidentes
  • número de visitantes únicos al sitio de concientización interno
  • número de consultas al equipo de seguridad
  • número de informes de errores en el material de capacitación (después de incluir un par de errores intencionados)
  • etc.

Realmente debe tratar esto como lo haría para rastrear a los usuarios en un sitio web de ventas (pregunte a su equipo de rastreo de usuarios web, pueden ayudar con ideas). Entrena a comportamientos y necesita hacer un seguimiento del cambio de comportamiento a lo largo del tiempo.

    
respondido por el schroeder 23.11.2017 - 16:48
fuente
1

Con conciencia, lo que buscamos lograr es una comprensión básica de las amenazas y las respuestas. Difiere de la capacitación y la educación, que promueven una comprensión más detallada y el conocimiento de las diversas medidas adoptadas.

Por lo tanto, la clave para promover la conciencia es simplemente a través de la exposición. Cuanto más expuesto esté el personal a tales mensajes de seguridad, mayor será la conciencia. Una manera fácil y barata de promover la concientización es mediante la impresión de mensajes de seguridad en tazas, mousepads, imanes, etc. y entregándolos al personal.

Puede realizar concursos para diseñar las baratijas antes mencionadas y entregar premios. Para medir KPI, puede basarlo en la cantidad / calidad de los envíos. Si te sientes aventurero, incluso puedes plantar pistas dentro de estas baratijas y otorgar premios a los empleados que logren resolver el enigma o problema.

Al generar un gran despliegue publicitario y lograr que más personas hablen de ello, habrías alcanzado tu objetivo de concienciación.

No soy un fanático de las encuestas o cuestionarios, ya que la mayoría de las personas simplemente estudian para aprobarlo y realmente no internalizan el conocimiento.

    
respondido por el limbenjamin 03.12.2014 - 13:32
fuente

Lea otras preguntas en las etiquetas