非 IT 人员的安全培训应包含哪些主题?

信息安全 职业教育 意识
2021-08-27 08:22:39

(我不确定,如果这个问题适合 security.stackexchange-board,但可询问的主题列表不排除这个问题恕我直言,并且有一些例子

我曾为几家不同的公司工作过,其中一些公司将其 IT 部门外包。这意味着公司的人主要使用技术,但对它的了解并不深入,尤其是在安全方面。

因此,我正在考虑提供 1 或 2 个小型研讨会/培训的想法,这样他们至少可以了解为什么计算机安全很重要以及究竟什么是重要的。我想这样做是因为我认为,人类知识应该被分享,无论接受者和双方都可能学习。我的同事可能更了解安全性,而我可能更了解他们的观点。

因此,我坐下来尝试列出必要且有用的主题列表,同时牢记目标受众。

我是否缺少主题,应该有其他主题吗?当您处理计算机安全问题时,需要学习什么?

话题:

  1. 为什么要计算机安全?(成本,勒索软件阻止了一家完整的公司,...)
  2. 密码(什么是好的密码,如何存储,切勿在不同帐户上使用相同的密码,...)
  3. 离开工作场所时锁定屏幕(因为......?没有找到可能发生的事情的好例子,这也是高优先级吗?)
  4. 我应该展示一个黑客示例来可视化它是什么吗?例如,较旧的手机/平板电脑可以通过开源软件快速破解。
  5. 社会工程(2 位同事接到电话,成为CLSID-Scam、门滑行、停车场 U 盘……的受害者)
  6. Internetsecurity(NoScript,停用 Flash / JS,什么是网络钓鱼,...)
  7. 备份
  8. 电子邮件加密
  9. 保护措施(保持操作系统更新,使用防病毒软件,不要默认使用管理员帐户,...)

我不知道哪些主题应该是强制性的以及按什么顺序。培训可能需要 1 甚至 2 个小时。我还会创建一些备忘单,以便他们可以带走一些书面信息,进一步阅读等。

4个回答

一年多以前,我实际上做了一个类似的演示文稿,并花了很多时间来决定如何构建它。我的目标受众确实包括开发人员和其他在 IT 方面非常有知识的人,但也包括经理和其他非程序员,所以我尽量保持它的一般性,而不是技术上的复杂。正如其他人指出的那样,我认为重要的一件事是不要让人觉得无聊。您希望这是一个有启发性的演讲,帮助人们意识到这是他们应该牢记的事情,而不仅仅是另一个会妨碍实际工作的沉闷任务清单。

为此,我试图将整个演示集中在安全文化的概念上,而不是直接跳入过多的技术细节。考虑到这一点,我仍然设法触及了您在问题中提到的许多主题。

我在演讲中提到的一些东西

(或者如果我要举行另一场类似的演讲,今天会谈到):

  • 机密性、完整性和可用性 (CIA):信息安全的中心主题,以及为什么这些对您的公司和个人都很重要(如果您能给人们一些有助于帮助的指导)他们在工作场所之外也更安全,那只是一个优点,对吧?它也可能会让一些人更加关注你——尤其是如果你也涉及到他们孩子/家人的安全)。
  • 关于“安全文化”概念的几句话(“文化”如“一组特定人群共有的思想、习惯和社会规范”,或类似的东西,以及安全意识应该是这是有意识的一部分)。
  • 考虑安全性的目标:降低意外事件的风险,准备在它们无论如何发生时处理它们。
  • 牢记成本(或投资回报,如果您愿意);考虑哪些措施最容易开始,哪些措施最有意义。我想在这里写几句关于好习惯的词;诸如更新系统、使用正确的密码、避免点击可疑链接、注意人身安全(尾随者!)等。也许包括一些来自现实世界事件的例子,包括有关违规的新闻文章的屏幕截图等?
  • 提出一些与您的特定公司相关的漏洞或威胁类型等问题。示例:我们业务的“皇冠上的宝石”是什么?什么对我们来说最重要,什么可能威胁到他们?我们今天有多安全,我们希望有多安全,未来我们如何才能做到这一点?我们希望在哪些领域改善我们的安全立场?这里的重点不是给人们一份要做的事情清单,而是让他们思考整个安全领域,并帮助他们自己承担部分责任。
  • 举几个典型的安全准则示例,并询问您的听众是否应该为您的工作场所考虑其中任何一个(或类似的)。

哦,还有一件事:包括一些适当的现实世界安全问题示例将有助于让您的听众保持娱乐(但不要过度)。

我不知道这是否正是你所追求的,但我希望它可能有用。祝你的演讲好运。

现有的答案都没有提到这一点,即使它不是一个彻底的答案,评论也太长了。

绝对需要避免在您的听众中产生的一件事是虚无主义(即,无论我做什么,我都会被黑客入侵)。s@#$less 很容易吓到人们(并且根据情况诱人地娱乐)。但是,正如您所说,销售安全文化的很大一部分将让观众相信,有意义地提高安全性既 a) 不会过于痛苦, b) 也是可能的

我经常遇到的态度,尤其是在千禧一代中,是不可能的,或者如果可能的话,那么困难以至于不可行。见鬼,我知道得更清楚,而且我自己有时仍然有这种感觉。

我建议每个现实世界的示例(无论是故事还是现场演示)都提供一些简单的步骤(最好是“步骤”单数)以避免同样的命运。

这对他们来说太不真实了
,唯一让它坚持下去的方法
就是通过现实生活中的例子来展示他们。

问他们:谁知道网络钓鱼是什么?
问他们:那么什么样的信息泄露会有问题?
他们说:如果包含有关客户 C 的会计信息的文档 ThisIsImportant.doc 将被泄露。
问他们:谁有权访问 ThisIsImportant.doc?
他们说:帕特里克

然后告诉他们:所以,让大家一起向 Patrick 发送钓鱼邮件,假装是 Patrick 的老板!

在他们眼前打开终端(绿色字体,重要!)。
现场“黑客”!他们喜欢它!

1) ssh 进入邮件服务器
2) touch mail.txt
3)vim mail.txt 

To: partick@yourCompany.com
Subject: Patrick, I need customer C info.
From: Patricks Boss<patricksBoss@yourCompany.com>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!

4) :x!
5)sendmail -vt < mail.txt

现在请帕特里克打开他的电子邮件,每个人都会在他们眼前看到一封您写的帕特里克老板的电子邮件

为他们吸取的教训:
他们不应该盲目地遵循名称/品牌/制服/等。并使用常识。

之后你可以告诉他们所有其他的东西,因为现在他们相信你它实际上是多么真实。

然而,一年后,他们仍然会讲述你如何通过冒充他的老板来“入侵”参与者的故事。

一方面,你说你想举办研讨会,另一方面,你会与安全知识有限的人一起深入探讨一些非常核心的话题。虽然我为你的努力鼓掌,但如果是我,我会希望提高认识并让人们考虑安全性,而不是仅仅通过幻灯片呈现死亡/某些东西,这就像另一个勾选框强制培训合规练习。

我并不是建议你不应该谈论你列出的所有事情,但如果你只花一天时间在这些事情上,你会让你的听众感到厌烦。OTOH,如果您能赢得他们的心,那么他们会在日常工作中考虑安全问题。

探索他们如何作为私人受到攻击是解决这个问题的一种方法。另一个是让他们计划对任意目标的攻击。

其它你可能感兴趣的问题
上一篇为什么使用 SMTP 服务器的 Gmail(添加帐户)推荐 SSL 而不是 TLS? 下一篇GCC 编译 C/C++ 的最强化的一组选项是什么?