it-swarm-korea.com

직원의 보안 동의를 극대화하는 정책은 무엇입니까?

보안 인식 교육은 대부분의 직원에게 골칫거리입니다.

제가 가장 좋아하는 일화는 원시 HTML 코드에서 모든 답을 발견하여 온라인 보안 인식 교육을 신속하게 완료하는 방법을 알아내는 직원 그룹입니다.

직원들이 좋은 방어를 할 수 있도록 격려하는 좋은 동기 부여 정책은 무엇입니까?

17
Tate Hansen

사회 규범. 직원이 관리자가 보안을 중요하게 생각하는 것을 본다면이 회사에서 앞서 나가려면 보안을 중요하게 생각해야한다는 문화적 기대가 설정됩니다.

16
user185

역설적이게도 보안 교육의 첫 번째 책임은 보안 교육이 왜 중요하고 귀하 (직원) 및 관련성 (귀하의 작업).
모든 훈련 (적어도 첫 번째 인식 훈련) 반드시 이것으로 시작하거나 최소한 매우 빨리 도달하거나 그렇지 않으면 무의미합니다.

당신의 WTF 예제에서 당신이 훈련에서 testing 을 언급하고 있었던 것 같지만, 이것은 매우 다른 것입니다 ... 훈련은 무엇보다도 먼저 정보.
첫 번째 작업 (중요한 이유 표시)이 잘 수행 된 경우 나머지 작업을 테스트 할 필요가 없습니다. 그렇지 않다면-글쎄요, 정말 요점이 없죠? 사람들은 항상 그것이 중요하지 않다고 생각하면 속이는 방법을 찾을 것입니다.

또한 재미있는 트레이너가 있으면 많은 도움이됩니다.하지만 공짜 점심을 통해 교육을 제공하는 것만 큼은 아닙니다!
저는 가장 큰 은행 중 일부에서 성공을 거두었습니다. 직원들은 음식을 먹으러 오는 데 관심이 있습니다 (단순한 샌드위치가 아닙니다. 그들은 돌아 다닐 이유가 있고 그들이 얻을 수있는 첫 번째 기회를 다 쓰지 않기 때문에 앉아서 듣고 있습니다. 그들은 스스로를 즐기고 있습니다 (연구에 따르면 사람들은 주변에 음식이있을 때 자신을 즐기는 것으로 나타났습니다. 음식 때문에 정신적 경비원이 다운되었습니다.
(예, 정책 이라기보다는 전략에 가깝지만 여전히 ... 정책은 직원 교육을 받고 즐기십시오 .)


하나의 작은 추가, 다시는 정책 자체는 아니지만 인식에 대한 태도의 일부는 제공 솔루션 실무 성 해당 솔루션 중.
물론 여기에는 적절한 도구, 보안을 "실행"하기에 충분한 리소스 등이 포함됩니다.
경영진이 모든 사람에게 보안을 알리고 이에 대해 아무것도 할 수있는 능력을 거부한다면 무의미한 것보다 더 나쁠 것입니다.

10
AviD

원시 HTML 코드에서 모든 답변 발견

교육이 그렇게 쉽게 전복 될 때 보안 교육을 진지하게 받아들이는 것이 약간 어렵지 않습니까?

직업 관련 보안 코드 검토 또는 긍정적 인 피드백을 통한 동료 검토의 경우 아마도 가장 좋은 방법 일 것입니다.

당신이 그것에 착수 할 때, 신경 쓰는 직원을 고용하는 것이 가장 중요한 정책이고, 신경 쓰지 않는 사람들은 놓아줍니다. 동료들이 나쁜 보안 관행을 알고 있음에도 불구하고 나쁜 보안 관행을 피하는 것보다 더 빨리 사람들을 돌보지 않게하는 것은 없습니다.

7
Bradley Kreider

보안 정책이 사람들이 실제로 업무를 수행하는 것을 방해 할 정도로 엄격하지 않은지 확인하십시오. 사이트를 블랙리스트/그레이 리스팅하는 경우 특히 그렇습니다.

예를 들어, 제가 근무한 한 회사는 그레이리스트에 Google이 있습니다. 즉, 직원들은 "할당량"이 다 떨어지기 전에 제한된 시간 동안 만 Google에서 검색 할 수있었습니다. 회사가 일부 독점 언어로 작업 할 때는 괜찮 았을 수도 있지만, Google을 사용할 수없는 .Net을 작성하는 것은 정말 고통 스럽습니다 (그리고 MSDN은 적절한 대체물이 아닙니다). 이것은 사이트가 화이트리스트에 추가되는 과정의 불투명성과 결합되어 많은 분노를 불러 일으켰고 정책의 Subversion을 불러 일으켰습니다.

6
quanticle