¿Alguien tiene recomendaciones sólidas para implementar y mantener la capacitación en conciencia de seguridad? No estoy buscando un proveedor específico, pero estoy tratando de obtener información sobre cómo se presenta realmente el material y cómo evaluar a las personas sobre lo que han aprendido.
Somos una compañía distribuida de 350 personas, por lo que la capacitación práctica probablemente no funcionará.
Aquí hay un enlace a una gran cantidad de contenido (la mayoría, si no todos, gratis). SANS tiene un contenido bastante bueno, pero el mejor contenido que puedes proporcionar es el que creas. Esto se debe a que lo que está buscando es muy amplio, será demasiado para que lo trague la persona promedio, lo que finalmente derrotará el punto.
Hay NIST SP800-50 , pero nuevamente, estos Tienden a ser tan amplios, se vuelven 1) aburridos y 2) ignorados. Ayuda enormemente a personalizar la capacitación en torno a su negocio, no lo que otros han hecho para ellos (NIST, CoBIT, ITIL), ya que todos los negocios tienen diferentes objetivos, metas, etc. Lo que he descubierto es que construir uno es propio y enviar N la cantidad de recordatorios a través de un correo electrónico, funciona mejor.
Compartiré una historia contigo que tuve cuando fui a hacer un pentest a una compañía de informes financieros. Al ingresar a una empresa en MA, la administración de alto nivel se mostró escéptica ante los conceptos de seguridad de MOST. Expliqué las cosas en analogías que les ayudaron a "entenderlo". Después de discutir las cosas durante aproximadamente una hora, me mostraron un póster recortado de tamaño real de alguien que estaba detrás de otra persona que sostenía un arma. Era una caricatura / videojuego como póster, pero amenazante. El mensaje deseado fue: "este tipo armado que no ves quiere tu contraseña". Los mensajes transmitidos: 1) Los hackers nos van a matar 2) La seguridad está fuera de proporción, no hay piratas informáticos corriendo con armas 3) ¿De qué videojuego es?
Las analogías hacen maravillas. El colega promedio no se va a sumergir en cosas como: AV * EF, encadenamiento de bloques de cifrado, diferencias entre EDE EEE, etc., sin embargo, si lo formatea de una manera que tenga sentido y pueda llevar a cabo FUERA DEL TRABAJO ( Por ejemplo, cómo puede ayudar a mantener seguras sus cuentas bancarias personales y su información personal, funcionará 1000 veces mejor.
Lea otras preguntas en las etiquetas user-education professional-education