除了传统的电子邮件网络钓鱼测试之外,还有哪些其他安全关键绩效指标可用于衡量组织中最终用户的安全意识?
- 9.4 通过定期测试验证和提高意识水平,以查看员工是否会点击可疑电子邮件中的链接或在电话中提供敏感信息,而不遵循适当的呼叫者身份验证程序;应该向那些成为演习受害者的人提供有针对性的培训。
我试图提出一个超越网络钓鱼电子邮件或通过电话提供敏感信息的指示。例如,我怎么知道人们意识到在组织中使用受感染的 USB 的危险?禁用 USB 可以防止安全漏洞,但不会有利于最终用户对该问题的认识。用户通常将其视为阻止他们执行任务的烦人控件。USB 只是一个例子,我怎么知道用户意识到共享用户名的危险?以及类似的其他错误做法。通过调查获得他们对该主题的答案是一方面,还有其他迹象吗?
一个基本的培训计划应该在关键问题上对用户进行最低限度的教育。衡量其有效性为确保用户获得安全有效地完成工作所需的相关信息提供了机会。
发送一份调查,评估对特定工作的信息安全问题的认识,并查看您的员工的得分情况。
等等。
在这里冒险,我相信通过定期演习和红队模拟攻击进行测试。如果红队在社会工程或其他类型的妥协中取得成功,那么意识是零。
推理:KPI 和调查以及诸如此类的测量和报告平均值。攻击者对平均值不感兴趣,他会攻击(引用 Sec.SE 居民最近的评论)属于 CFO 秘书的笔记本电脑,或者他发现的任何最薄弱的地方。
你也在寻找反自满的措施。我找不到比定期演习、抽查和实际攻击的真正威胁更好的方法来让用户保持警觉。
有了意识,我们寻求实现的是对威胁和响应的基本了解。它不同于培训和教育,后者推动更详细地了解和了解所采取的各种措施背后的基本原理。
因此,提高认识的关键就是通过曝光。员工接触此类安全信息的次数越多,意识就越强。一种简单而廉价的提高意识的方法是在杯子、鼠标垫、磁铁等上打印安全信息,并将它们分发给工作人员。
您可以举办设计上述小饰品的比赛并发放奖品。要衡量 KPI,您可以基于提交的数量/质量。如果您喜欢冒险,您甚至可以在这些小饰品中植入线索,并向设法解决谜题或问题的员工颁发奖品。
通过炒作并让更多人谈论它,您将实现您的意识目标。
我不喜欢调查或问卷,因为大多数人只是为了通过它而学习,并没有真正将知识内化。
我们为一个 KPI 决定的是报告的事件数量。在当前阶段,我们说我们希望报告更多事件:没有足够的人报告/意识到他们应该报告。当数量增加时,这主要是因为意识增强。从某一点(报告没有真正稳定增长)开始,我们将切换到更少的事件报告意味着更少的事件。这意味着我们现在不依赖报告,但将来会。
另一个 KPI 可能是实际培训的人数:跟踪他们。第三个 KPI 可能是人们通过调查记住的政策数量。然而,我发现人们只在填写多项选择调查时才会认真对待回复。