¿Qué temas debe contener una capacitación de seguridad para personas que no pertenecen a TI?

En realidad hice una presentación similar a esto hace poco más de un año, y dediqué bastante tiempo a decidir cómo estructurarla. Mi público objetivo incluía desarrolladores y otras personas bastante informadas en TI, pero también gerentes y otros no programadores, por lo que traté de mantenerlo bastante general y no técnicamente complicado. Como lo señaló otra persona, creo que una cosa importante es no parecer aburrido; quiere que esta sea una charla esclarecedora que ayude a las personas a darse cuenta de que esto es algo que deben tener en cuenta, y no solo otra lista de tareas tristes que se interpondrán en el camino del trabajo real .

Con este fin, traté de centrar toda la presentación en torno al concepto de cultura de seguridad en lugar de saltar directamente a demasiados detalles técnicos. Con eso en mente, aún pude tocar muchos de los temas que mencionas en tu pregunta.

Algunas de las cosas que mencioné en mi charla

(o me referiría hoy si tuviera otra charla similar):

• Confidencialidad, integridad y disponibilidad (CIA): los temas centrales de la seguridad de la información y algunas palabras obvias sobre por qué son importantes tanto para su empresa como para las personas (si puede brindarles un poco de orientación a las personas). eso les ayudará a estar más seguros más allá del lugar de trabajo, entonces eso es solo un punto a favor, ¿verdad? También podría hacer que algunos le presten más atención, especialmente si se refiere a la seguridad de sus hijos / familiares también.
• Unas pocas palabras sobre el concepto de "cultura de seguridad" ("cultura" como en " un conjunto de ideas, hábitos y normas sociales, comunes a un grupo específico de personas ", o algo así como eso, y la idea de que la conciencia de seguridad debe ser una parte consciente de esto ).
• Objetivos de pensar sobre la seguridad: reducir el riesgo de incidentes no deseados, preparándose para manejarlos si / cuando ocurran de todos modos.
• Teniendo en cuenta el costo (o retorno de la inversión si lo deseas); pensar en qué medidas será más fácil comenzar y cuáles tienen más sentido. Incluiría algunas palabras sobre buenos hábitos aquí; cosas como actualice sus sistemas, use buenas contraseñas y evite hacer clic en enlaces sospechosos, sea consciente de la seguridad física (¡peros de cola!) , etc. Tal vez incluya algunos ejemplos de eventos del mundo real, incluidas capturas de pantalla de Artículos de noticias sobre violaciones, etc.?
• Descarte algunas preguntas relacionadas con el tipo de vulnerabilidades o amenazas que pueden ser relevantes para su compañía en particular, y más. Ejemplos: ¿Cuáles son las "joyas de la corona" de nuestro negocio? ¿Qué es lo más importante para nosotros y qué puede amenazarlos? ¿Qué tan seguros estamos hoy, cuán seguros nos gustaría estar y cómo podemos llegar allí en el futuro? ¿En qué áreas querríamos mejorar nuestra postura de seguridad? El punto aquí no es dar a las personas una lista de verificación de cosas que hacer, sino hacer que piensen en todo el ámbito de la seguridad en general y ayudar a asumir la responsabilidad de partes de ella, ellos mismos.
• Dé algunos ejemplos de las pautas de seguridad típicas y pregunte a su audiencia si alguna de ellas (o similar) debe considerarse para su lugar de trabajo.

Ah, y una cosa más: Incluyendo algunas real los ejemplos mundiales de problemas de seguridad ayudarán a mantener a tu audiencia entretenida (pero no te excedas).

No sé si esto es exactamente lo que buscabas, pero espero que sea de alguna utilidad. Buena suerte con tu presentación.

Ninguna de las respuestas existentes menciona esto y es demasiado largo para un comentario, incluso si no es una respuesta completa.

Una cosa que absolutamente necesitarás para evitar engendrar a tu audiencia es el nihilismo (es decir, seré hackeado sin importar lo que haga). Es bastante fácil asustar a la gente s @ # $ menos (y es tentadoramente entretenido dependiendo de las circunstancias). Sin embargo, gran parte de la venta de la cultura de seguridad, como dice, será convencer a la audiencia de que mejorar la seguridad de manera significativa es a) no demasiado doloroso yb) posible .

Con demasiada frecuencia, la actitud que encuentro especialmente entre los millenials es que la seguridad es imposible o, si es posible, tan difícil como para no ser viable. Demonios, sé mejor y todavía me siento así a veces.

Recomiendo que cada ejemplo del mundo real (ya sea una historia o una demostración en vivo) se presente con algunos pasos sencillos (preferiblemente, "pasos" singulares) para evitar el mismo destino.

Es tan irreal para ellos
que la única manera de tenerlo pegado
es mostrándolos con el ejemplo de la vida real.

Pregúnteles: ¿quién sabe qué es el phishing?
Pregúnteles: ¿Entonces qué tipo de información filtrada sería problemática?
Dicen: Si se filtraría el documento ThisIsImportant.doc con información contable sobre el cliente C.
Pregúnteles: ¿Quién tiene acceso a ThisIsImportant.doc?
Dicen: Patrick

Luego, dígales: ¡Así que, todos juntos enviamos un correo electrónico de phishing a Patrick haciéndose pasar por el jefe de Patrick!

¡Abrir Terminal (con letra verde, importante!) frente a sus ojos.
¡VIVA "Hacking"! ¡Ellos lo aman!

1) ssh en el servidor de correo
2) touch mail.txt
3) vim mail.txt

To: [email protected]
Subject: Patrick, I need customer C info.
From: Patricks Boss<[email protected]>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!

4) :x!
5) sendmail -vt < mail.txt

Ahora pídale a Patrick que abra su correo electrónico y todos verán un formulario de correo electrónico de Patricks Boss que usted escribió delante de sus ojos .

Lección aprendida para ellos:
No deben seguir ciegamente un Nombre / Marca / Uniforme / etc. y usar el sentido común.

Después de eso, puedes decirles todo lo demás, porque ahora te creen lo real que es en realidad.

Sin embargo, un año después, seguirán contando la historia de cómo "pirateaste" a las personas haciéndose pasar por su jefe.

Por un lado, usted dice que desea realizar talleres, mientras que por otro lado, profundiza en algunos temas bastante difíciles con personas que tienen un conocimiento limitado de la seguridad. Si bien aplaudo sus esfuerzos, si fuera yo, buscaría crear conciencia y hacer que la gente piense en la seguridad en lugar de simplemente presentar la muerte por powerpoint / algo que aparece como otra garrapata. Cuadro de ejercicios de cumplimiento de entrenamiento obligatorio.

No estoy sugiriendo que no debas hablar sobre todas las cosas que has enumerado, pero si pasas un día solo en estas, aburrirás a tu audiencia. OTOH si puedes ganar sus corazones y sus mentes, entonces pensarán sobre la seguridad en su trabajo diario.

Explorar cómo podrían ser atacados como individuos privados es una forma de abordar esto. Otra es hacer que planeen un ataque contra un objetivo arbitrario.

Mostrarles un Administrador de contraseñas como LastPass o KeePass.

La mayoría de las personas que conozco tienen TONELADAS de ID de usuario y contraseñas. Para recordarlos, hacen cosas como usar las mismas contraseñas, anotarlas en notas adhesivas o almacenarlas en documentos de texto sin cifrar.

En cambio, muéstrales cómo usar un administrador de contraseñas. Mostré a algunos de mis amigos no informáticos cómo usar LastPass. Ahora usan una frase de contraseña muy fuerte para ingresar al administrador de contraseñas y dejar que administre todos sus inicios de sesión. ¡Ellos lo aman!

En términos generales, cuantas más medidas de seguridad pueda excluir del usuario, ¡mejor!

Por ejemplo:

• El almacenamiento de archivos debe, si está disponible, realizarse en un servidor centralizado. Suponiendo que tiene recursos con la competencia suficiente para configurarlo correctamente, es más fácil mantener copias de seguridad en toda la empresa realizadas por personas capacitadas que enseñando a cada empleado cómo hacer copias de seguridad privadas (¡y hacer que recuerden hacerlo!)

• Si su entorno lo admite, use las políticas de administración de Dominio de Windows / Active Directory donde corresponda (por ejemplo, para introducir tiempos de espera de pantalla con desbloqueo de solo contraseña o para hacer cumplir la longitud de la contraseña / el contenido de caracteres, así como los cambios periódicos de contraseña).

Comentarios a tus sugerencias:

1. Manténgalo simple: seguridad informática = proteger los activos de su empresa. La información es poder y la información puede incluso ser dinero en un sentido más directo (secretos comerciales, etc.). Su argumento específico dependerá del tipo de trabajo que realice su empresa y de qué / cómo lo almacene, pero la esencia siempre debe ser que el acceso no autorizado a un sistema informático puede causar un gran daño a su empresa, ya sea por destrucción o robo (o ambos). ).

2. Definitivamente haga esto, pero como se mencionó anteriormente, use herramientas técnicas para hacer cumplir tantas reglas como sea posible para disminuir la responsabilidad del usuario final.

3. ¡Absolutamente! No es un vector de ataque muy común, pero es una de las "soluciones" más fáciles. Por lo tanto, debe ser implementado de inmediato. Coloque recordatorios cerca de las estaciones de trabajo o en las salidas.

4. Evite esto a menos que pueda encontrar ejemplos específicos con los que sus empleados puedan relacionarse directamente (porque utiliza el mismo hardware / software, o algo similar). Si sigue esta ruta, KISS , no se pierda en la jerga técnica. Use conceptos generales y términos no técnicos tanto como pueda. Pase menos tiempo explicando el problema y más tiempo describiendo el comportamiento correcto para el usuario.

5. Esto puede ser fácilmente uno de los vectores de ataque más peligrosos y, al mismo tiempo, el más difícil de enseñar a sus empleados sobre cómo protegerse. Guárdelo para el final: desea que sus empleados adopten la "cultura de mentalidad de seguridad" antes de profundizar en este tema en particular. Cuanto más conozcan y piensen acerca de los procedimientos seguros y la importancia de garantizar la autorización y los protocolos correctos, más fácil será comprender cómo un tercero puede intentar escapar de estas barreras.

6. Definitivamente: use las políticas de grupo para bloquear Flash, Active-X, o imponer NoScript, etc., si es posible. Nuevamente, cuantas más mitigaciones pueda agregar sin que el usuario tenga que hacer o administrar nada, mejor.

9. Nuevamente, si puedes hacer esto de manera centralizada, sería mucho mejor. A juzgar por su pregunta, parece que este puede no ser el caso de su empresa.

En cuanto al pedido, recomendaría el mismo orden en el que pueden surgir los problemas. Es decir:

user login (passwords, lockscreen) 
  --> program startup (viruses, backups) 
    --> program use (phishing, social engineering, "bad" downloads/attachments).

Creo que la respuesta de kjartan es acertada, pero en términos más generales de capacitación en concientización sobre seguridad hay solo una algunos componentes principales

1. ¿Qué estás protegiendo? Información, datos y conocimiento: los impulsores de cada aspecto de su negocio.
2. ¿Por qué necesita ser protegido? CIA + no repudio. Creo que es importante explicar por qué es importante que los usuarios no compartan credenciales.
3. Cómo pueden ayudarte los usuarios a protegerlo. Simplemente unas pocas reglas básicas sobre no hacer clic en los enlaces, dar información, recoger unidades flash y enchufarlas, lo básico.
4. Ejemplos de incidentes ocurridos y el costo asociado en daños a la reputación y monetarios
.

Si necesita ir más allá de eso, es una buena idea explicar qué políticas & Los procedimientos son y por qué deben seguirse. Póngalo en términos simples para personas sin TI y no para empresas. Y luego expóngalo en términos comerciales para el nivel más alto de empleados y cómo lo que se acordó se ha considerado el nivel correcto de seguridad de las operaciones comerciales y (por ejemplo, ¿por qué existen estas cosas además de ser un obstáculo que necesitan superar para simplemente hacer su trabajo). Creo que esa es la clave con la que luchan los usuarios habituales: " simplemente déjame hacer mi trabajo. "