¿Cómo podemos entrar en la mentalidad del usuario?

Creo que has golpeado el clavo en la cabeza cuando dices: "... no estás interactuando con nuestros usuarios muy a menudo"

Absolutamente debe trabajar con los usuarios finales para comprender su opinión. La mayoría de los usuarios finales no tienen interés en comprender lo que significa 0 días incluso, y mucho menos por qué deberían preocuparse.

Mucho de lo que hago es la interfaz entre los equipos de seguridad técnica y los clientes no técnicos, y el mejor enfoque, en mi opinión, es sentarse con el usuario y comprender lo que su trabajo les exige. ¿Cuáles son los aspectos fáciles y difíciles?

• Como ejemplo, ¿tienen computadoras portátiles viejas que tardan años en arrancar? Si es así, descubrirá que no querrán hacer un cierre completo todas las noches, sino que pueden hibernar sus máquinas. Lo que obviamente romperá la protección ofrecida por el cifrado de disco completo. Así que su característica de seguridad esencial se elimina a pesar de que todos saben que es valiosa. Entonces, la solución requiere un enlace con los niveles superiores para articular el problema, posiblemente refiriéndose a la legislación de protección de datos, y luego a TI.

¿Entiendes los drivers para tus usuarios? Si no les hablas, no lo harás, y hablando no me refiero a evangelizar sobre la seguridad. Me refiero a escucharlos, escuchar sus declaraciones sobre TI que no funciona, escuchar lo que creen que deben hacer como parte de su trabajo diario, luego irse y analizar qué impacto tienen sus conductores y aspiraciones en sus objetivos de seguridad.

Porque al final del día, en muchas organizaciones, la seguridad se ve como un bloqueador, algo que simplemente impide que las personas puedan trabajar; y luego, cuando la organización es hackeada, es culpa del equipo de seguridad no hacer que estén seguros.

Primero, tome conciencia a nivel de base - luego cree su estrategia de seguridad para respaldar la estrategia de TI y la estrategia de negocios. El soporte a nivel de usuario hará que sea mucho más sencillo tener la seguridad integrada en los proyectos de mejora y BAU.

Sé que esto es más como un comentario que una respuesta, pero ... (además de la respuesta de Rory)

¡Smalltalk, smalltalk, smalktalk!

Lo mejor es hablar con ellos, especialmente cuando tienen descanso. Interferir con su rutina de trabajo puede ser MUY contraproducente. Comience con un tema completamente no relacionado (encontré una gran aplicación en el mercado. Se trata de ...) y lentamente adquiera el tema que desea discutir.

Y, desde mi experiencia, recomendaría evitar las entrevistas formales: ponen demasiado estrés en la persona y, por lo general, no obtendrás la mayor cantidad de datos que desearías simplemente por temor a fallar / hacer algo mal. / p>     

Usabilidad, usabilidad, usabilidad.

Si desea que el usuario se comporte de manera segura, tiene que ser la ruta más sencilla para que lo sigan. La seguridad en general no hace las cosas más fáciles. Gran parte de eso es culpa nuestra por darles requisitos difíciles.

Algo tan simple como pedirle al usuario "Escriba su nueva contraseña de tres palabras o más" en lugar de preguntar "Seleccione una contraseña de al menos 10 caracteres imprimibles en ASCII que contengan al menos una letra mayúscula y un dígito o especial el carácter, excluyendo ampersand, apóstrofe y comillas "ayudará a fomentar un comportamiento seguro sin ser difícil de usar. Psicológicamente, tres palabras tienen menos de 15 caracteres, por lo que es menos probable que las personas se sientan frustradas.

Puede ser muy importante para una organización contar con personal con la suficiente seguridad como para resistir los diferentes tipos de ataques contra las personas y los sistemas que utilizan.

Con el fin de conocer a los usuarios sobre seguridad, pero también ayudar a fomentar y hacer de la mentalidad de seguridad una propiedad inherente para todos los empleados, le recomiendo que la administración se comprometa a tener personal con mentalidad de seguridad. Proporcione la capacitación adecuada a la gerencia sobre los factores importantes y hágales saber que el conocimiento de seguridad de su personal puede ser un indicador de rendimiento . Este es un primer paso vital, en mi opinión, para anclar adecuadamente la necesidad de medir / descubrir la mentalidad de nuestros usuarios.

Por ejemplo, ¿cómo respondes estas preguntas?

• ¿Qué tan bien se desempeña un empleado en su función de trabajo? Comparado con otros y comparado con KPI.
• ¿Qué piensan los empleados de la empresa?

Si ya tiene formas de responder a las preguntas anteriores, entonces creo que necesita concienciar de la seguridad de esos procesos. Mi punto es que el proceso para conocer la mentalidad de nuestros usuarios debe integrarse en el proceso para responder a las preguntas anteriores. Algunos ejemplos de cómo podría responder a su pregunta y también los anteriores:

• Cree una encuesta de empleados que conste de preguntas importantes para la organización. Tener estos anualmente.
• Haga que RRHH cuente con preguntas de seguridad para las entrevistas de trabajo.
• En su charla anual con los empleados, asegúrese de interrogar a su empleado sobre lo que piensan acerca de la postura actual sobre seguridad. Conviértalo en uno de los KPI en los que mides a tus empleados.
• Haga que los empleados respondan cuestionarios anuales orientados a la seguridad obligatorios.

Ejemplo de preguntas para entrevistas, charlas de empleados y cuestionarios (para aumentar la concientización, responda las preguntas al instante en lugar de solo darles una puntuación final):

• ¿Cuál de estos se considera una contraseña segura?
• En cuál de estos sitios NO iniciarías sesión
• ¿Cómo puede identificarse si se está comunicando mediante un canal seguro en el sitio que está utilizando?
• ¿Qué significa el siguiente mensaje?
• ¿Quéharíaustedparahacerelmejortrabajoposible,sialguienlollamaenunaemergenciaparaobtenerunaretencióndedocumentosenelservidordealmacenamientodeintranet?
• ¿Porquédeberíainiciarsumáquinacuandolacomputadoraselopide?
• ¿CuáldeestasamenazasbloqueaelbloqueodesuPC?
• ¿QuéseconsideraunaformaseguradedesecharsuteléfonomóviloPC?
• ¿Cuáldeestasredesinalámbricasprobablementeseconsideraríaseguraparaconectarsetambién?
• ¿Quédireccióndecorreoelectrónicousaríapararegistrarseenelsitiodelequipodefútboldesuhija?

Actualización:SANS tuiteó hoy que han lanzado nuevos recursos para medir el riesgo y el comportamiento humano.

  

Las métricas le brindan la capacidad de rastrear y medir el impacto de su programa de conciencia de seguridad. Esto se puede usar para mejorar su capacitación, demostrar el retorno de la inversión o comparar su riesgo humano con otras organizaciones en su industria.

Hay un par de recursos diferentes disponibles:

• Matriz de métricas.

    

  Esta hoja de cálculo identifica y documenta diferentes opciones para medir su programa de conciencia de seguridad

• Medición del riesgo humano - Encuesta

    

  Esta encuesta de veinticinco preguntas lo ayudará a determinar el riesgo humano en su organización. Cada pregunta y sus respectivas respuestas tienen diferentes niveles de riesgo asociados con ellas. Dependiendo de cómo respondan sus empleados, puede sumar las respuestas y determinar un valor cuantitativo de su riesgo humano.

• Paquete de planificación de evaluaciones de phishing

    

  Las evaluaciones de phishing no solo son una manera simple y efectiva de medir el impacto de su programa de concientización, sino también una forma muy poderosa de reforzar conceptos clave de capacitación. Este paquete lo ayuda paso a paso a planear, construir e implementar un programa exitoso de evaluación de phishing, incluidas varias plantillas.

En mi opinión, solo necesitamos llegar a los usuarios al nivel en el que necesitamos proteger a la empresa. Esto significa que la capacitación en seguridad no debe ser una combinación de diapositivas en una voz monótona que haga algunas preguntas simples de opción múltiple al final. En cambio (y no soy ingenuo al punto de que el presupuesto debe desempeñar un papel aquí) la capacitación de seguridad del usuario debe personalizarse para los roles específicos de la empresa. Si el usuario de Joe obtiene una ingeniería social y es de su propiedad, su estrategia de defensa debería ser muy diferente a la de Joe CEO. Si la estrategia de defensa es diferente para estos usuarios porque las apuestas son diferentes, ¿por qué la capacitación del usuario sería la misma?

En lo que respecta a la interacción social como "rechazos de vivienda en el sótano", creo que haces un punto apropiado. Necesitamos trabajar en una comunicación clara que sea apropiada para el nivel del rol que estamos tratando. Además, la seguridad (al menos en mi experiencia) tiende a no ser el departamento favorito de una empresa, por lo que tener esas buenas relaciones públicas en la construcción de relaciones de trabajo podría ayudar a cambiar ese estereotipo. No estoy seguro de cuánto de eso se transferiría a una mejor seguridad.