Sikkerhet kan være en akutt smerte punkt for IT-sjefer. Det kan være noe som fører til at flere søvnløse netter enn å sikre sikkerheten til en organisasjons data og systemer. Spesialister befeste nettverket omkretsen med brannmurer og IDPSs, segment nettverket og utføre regelmessige revisjoner og strenge vurderinger. De klassifisere også data og isolere kritiske filer, og følg beste praksis vedrørende minst privilegium og sikkerhetspolitikk.

Dessverre, dette arbeidet er sårbare for handlingene til undereducated eller ondsinnede brukere. I sin 2 013 globalt, Ponemon Institute anslår at den gjennomsnittlige totale kostnaden for et datainnbrudd i USA er bare litt over $ 5.4 millioner. Om lag 67 prosent av hendelsene skyldtes en ondsinnet eller kriminelle angrep eller en systemfeil, men 33 prosent er knyttet til den menneskelige faktor, for eksempel en uaktsom ansatt eller entreprenør. Det kan alle starte med et enkelt klikk på feil link i en e-post eller tillitsfullt en bedrager

[Study: De fleste datainnbrudd skyldes menneskelig svikt, System glitches]. [Slik gjør du: Adresse Human Element av Data Security]

Brukeropplæring er en viktig del av enhver sikkerhetsprogram. De fleste ansatte er ikke det eller sikkerhetseksperter. Heller ikke bør du forvente at de skal være. Hensikten med sikkerhetsopplæring og bevissthet er å gi alle ansatte med grunnleggende sikkerhetskunnskap, samt egnede tiltak for å ta når presentert med en mulig sikkerhetssituasjonen.

Technology må ledsages av bevissthet trening for å beskytte mot social engineering og phishing, to vanlige årsaker til datalekkasje og brudd. Men når du har brukt tid og budsjett levere en veldig bra treningsprogram, hvordan vet du dine ansatte har beholdt den informasjonen de har lært og er å sette den til god bruk?

4 Security Testing tilnærminger som overrasker medarbeidere

Teste ansattes sikkerhet Kunnskaps hjelper deg med å oppdage hvem som er eller kan være utsatt for å gi bort sensitiv organisasjon eller kundeinformasjon. Tilnærminger til testing inkluderer følgende:

Administrer quizer. Folk som vert sikkerhet bevissthet trening bør administrerer multiple-choice quizer under trening og et par ganger hvert år på måfå. Publisere en webbasert quiz og variere spørsmålene slik at de ansatte ikke blir vant til et mønster eller del svar for å få det overstått så fort som mulig.

Utfør tilfeldige arbeidsområde sjekker. Ansatte kan bli ufølsomme eller selvtilfreds til informasjon rundt dem. Sjekk ansatt skrivebord sikkerhet for dokumenter og huskelapper som inneholder konfidensiell informasjon. Er de ute i det fri slik at alle som går forbi kan se eller ta dem? Se om arkivskap er låst, og hvis dokumentet oppbevaringsbokser er igjen i ulåste arbeidsområder. Sjekk også om ansattes datamaskiner er fortsatt logget inn, uten passordbeskyttelse, når de er borte fra sitt skrivebord.

Bli en hvit lue sosial ingeniør. Utnevne en medarbeider som ikke er godt kjent i organisasjonen (eller leie inn en konsulent) å ringe ansatte eller stoppe ved pultene sine, ber om konfidensiell informasjon som påloggingsinformasjon eller informasjon i et ikke-offentlig dokument. Den sosiale ingeniør bør ha en "relevant" story klar på hvorfor han eller hun trenger informasjonen

. [Feature: 6 måter Medarbeidere Sett selskapet data i fare] [Tips: Slik unngår du at minnepinne Sikkerhets Disasters]

Simuler phishing e-postangrep. En phishing e-post inneholder lenker til ondsinnede nettsteder eller nyttelast fylt vedlegg. E-posten er designet for å se legitime, som kaster av den typiske brukeren. En av de beste måtene å finne ut om de ansatte er oppmerksom på phishing e-poster er å sende noen til sine innbokser. Test e-post skal inneholde noen ledetråder at de ikke er fra den påståtte avsenderen (for post-testing pedagogiske formål) og inneholder koblinger som går til en sikker nettside. Området kan rett og slett være en side som sier, "Sikkerhet bevissthet trening -. Phishing test in progress" Sikkerhets teknikere kan samle IP-adressene til besøkende til siden for å overvåke hvilke ansatte besøkte området, og derfor klikket på linken.

Hvis ansatte er kort tid, bør du vurdere å ansette en tredjepart for å hjelpe deg å utføre simulert phishing-angrep . Selskaper som KnowBe4 og OneLogin enten utføre testene på dine ansatte, eller gi deg en portal som krever at du skriver inn e-postadresser til ansatte. Du får rapporter detaljering resultatene av testene som skal brukes til ytterligere opplæring.

Følg opp på sikkerhetstester

Snakk til ansatte som klikker på en phishing link eller faller for social engineering triks som Snart som mulig. Forklar at selv om dette bare var en test, kan den neste hendelsen være ekte og resultere i tyveri av viktig organisasjon eller kundedata. Målet ditt er å ikke fornærme eller bagatellisere de ansatte, men snarere å ytterligere utdanne dem og utdype organisasjonens holdning til sikkerhet.

Organisasjoner som må forholde seg til offentlige forskrifter bør understreke konsekvensene av et sikkerhetsbrudd på deres etterlevelse status. Sviktende å opprettholde effektiv sikkerhet, selv som et resultat av brukerfeil, kan resultere i en organisasjon være ute av etterlevelse og kan føre til strafferettslige, juridiske eller økonomiske sanksjoner

[Relatert:. Slik unngår Healthdatainnbrudd - og hva du skal gjøre hvis du er et offer] [også: Wall Street Stiller Eksempel for Testing Security Forsvar]

IT bør vurdere å utføre en ny test på denne undergruppe av ansatte i løpet av noen uker å måle arbeidere fremgang. Noen ansatte trenger flere tester og påminnelser før de internalisere alvoret av potensielle sikkerhetsbrudd.

I samtaler med ansatte etter phishing tester, påpeker elementer av phishing e-post som skal heve røde flagg. For eksempel en e-post som inneholder stave- og grammatikkfeil, eller truende språk, er mest sannsynlig falsk. Avsenderens URL kan tilby hint også, spesielt hvis den inneholder en IP-adresse eller stammer fra en annen enn den påståtte firmaets domene domene.

Når det gjelder sosial engineering, mange ansatte føler at sikkerheten er noen andres problem , fra sikkerhetsvakter til ledelsen; andre er rett og slett uvillige til å engasjere seg. Gjør dem føler seg bemyndiget til å stoppe opp og spørre en ukjent person hvorfor de er i bygningen og veileder dem om hvordan du kan be om legitimasjon på en profesjonell måte. Uavhengig av type test, legge vekt på de nødvendige skritt for de ansatte burde ha tatt, for eksempel kontakte en veileder eller sikkerhetsavdelingen umiddelbart

Det er ikke bare generelle ansatte som er utsatt for sikkerhets tabber -. Toppledere sliter med sikkerhetspolicyer og retningslinjer, også.

Etter en runde med testing og oppfølging, lage en liste over erfaringene til å forbedre programmet. Husk: En god sikkerhetsbevissthet programmet skal være pågående, interaktiv, inkludere ulike lærings formater og har repetisjon bygget i Post sikkerhetsbevissthet skilt rundt arbeidsplassen, planlegge korte workshops og seminarer, og sørg for å gjenkjenne ansatte som har vist at de tar sikkerhet as. alvorlig som du gjør.

Kim Lindros er et innhold, online læreplaner og klasseromsundervisning utvikler med bakgrunn i prosjektledelse. Hun har også bidratt til flere bøker om Windows-teknologier og applikasjoner og IT-sertifisering. Ed Tittel er en full-time frilans skribent og konsulent som spesialiserer seg på Web markeringsspråk, informasjonssikkerhet og Windows operativsystemer. Han er skaperen av eksamen Cram-serien og har bidratt til mer enn 100 bøker på mange databehandling emner.

Følg alt fra CIO.com på TwitterCIOonline, Facebook, Google + og Linkedin.
< p> Les mer om datainnbrudd i CIO datainnbrudd Drilldown. Anmeldelser