|
今天的NIST主题是——”实施安全意识和培训计划"
这对鲍勃和我来说都是非常重要的. 我们谈论这个,写这个,恳求这个. 安全意识和培训是我们从未完成的领域之一,我们总是在不断努力改进.
令人沮丧的是,我们要做关于这个主题的演讲, 写下来, 和人们面对面交谈. 然而,我们仍然被告知,“N没有人告诉过我!或者,“N。没有人告诉我们发生了什么事!"
我最喜欢的一个例子是一位前APP客户端总监,他正在计划一个重大的地区办公室服务器升级. 他咨询了学区负责人和高级职员,选定了一个日期. 他发了邮件. 他发出了书面的信件. 他亲自拜访了区办的关键人物,直接面对面地讨论了移民计划. 他打电话提醒他们. 在迁徙的前一天,他再次提醒大家. 到了迁移的那一天,我们把旧服务器取下来,开始做我们需要做的事情. 许多心怀不满的区公务员愤怒地迎接他。完全不知道发生了什么!“我们已经开始了一个无法停止的迁移过程,然后迎接他的是商业办公室,他们迫切需要查看他们的文件,因为他们安排审计员周一来这个地区,他们之前决定整个周末都在工作,为审计做准备。! 在所有关于时间表和期望的反复讨论中,他们从来没有告诉APP客户端总监这些, 我们微笑着,迅速改变了我们的整个工作计划.
商务办公室得到了他们的数据.
审计人员及时得到了他们需要的东西.
迁移是成功的.
这就是我们所做的.
然而, 有时尽管我们尽了最大的努力, 我们就是赢不了, 但我们微笑着,掸去身上的灰尘,再试一次.
坏人绝对是在计算我们忙碌的用户群有限的注意力广度.
据说,如果你想让人们记住你所说的话, 你必须无休止地一遍又一遍地重复这些信息 每月. 对我们这些知情人来说, 不停地告诉他们你告诉过他们的事情会使他们头脑麻木, 但这与我们无关. 它是关于“没有人告诉过我们”的人,他们是你的用户基础的重要组成部分.
以下是一些你需要时刻关注的事项:
- 实施安全意识计划. 这真的需要成为你们主管会议日和在职培训项目的一部分. CSI为一般员工准备了一场适合总监会议日的网络安全意识讲座. 也有其他的国产或准备的节目.
- 对员工进行安全认证培训. 这包括在提供多因素身份验证的任何地方打开它, 不重复使用密码, 非学区系统不使用学区电子邮件地址.
- 培训员工进行社交媒体/社交工程攻击. 这是网络钓鱼,电话和社交媒体诈骗. 有许多订阅产品可以帮助进行网络钓鱼攻击教育.
- 培训员工处理敏感数据 Ed Law 2D和GDPR将这些问题带到了最前沿. 这里有很多东西要打开, 但这一切都始于确保敏感数据不会暴露给未经授权的用户, 在互联网上, 或者在家里. 这可能很简单,比如设置一个带有超时值的密码保护屏幕保护程序,或者禁止缓存密码,或者培训员工不要在家里使用共享登录id.
- 培训员工了解意外数据泄露的原因. 这是前一个主题的延续, 还包括基于云的共享文件夹, 未加密的笔记本电脑, 移动设备. 还记得太阳风公司的黑客攻击吗,000个组织,包括美国政府的一个重要组成部分,据称在很大程度上归因于实习生将仿制药, 关键系统上的简单密码,并以不安全的方式将密码粘贴到他们的个人共享文件夹.
- 训练您的职员如何识别及报告贵地区的安全事件. 你有应急预案吗? 这是什么??
我们很高兴与您讨论我们的总监会议日网络安全员工意识介绍. 我们一直在与一些地区合作,使其灾难恢复和事件响应计划正式化.
如果你需要帮助,给我们打电话.
新闻官斯科特Quimby |
最近的评论