应该是什么意识

最近的W-2和应付帐款盗窃案表明,治理应该是提高认识的基石。

箭头沥青方向
Thinkstock

在一个 最近的文章强调了为什么安全意识计划经常失败,最主要的原因是治理不善。在审查和实施数十个意识计划时,我已经认为,安全治理的定义和实施不完善是导致安全意识计划失败的根本原因。

首先考虑什么是治理。在较高的层次上,治理是人们应如何执行其日常职能的定义。请注意,这并没有说明安全性。假设是行为的定义嵌入了安全性。

让公司感到惊讶的是,公司如何理所当然地希望完全控制其安全程序,而他们却几乎放弃了对供应商的意识程序。

尽管在实践中似乎没有这种方法, 意识计划 应该促进良好的安全行为。他们应该告知人们在常见和不常见情况下的预期行为。这些预期的行为不是由随机的CBT提供者确定的,而是应该反映公司治理中建立的行为。

例如,当大多数CBT视频谈论 社会工程学,它们突出显示了黑客如何诱骗您放弃密码或其他敏感信息。网络钓鱼视频重点介绍了 网络钓鱼者 想要获取密码或下载软件。但是,请考虑网络钓鱼和社会工程攻击的最新发展,其中包括联系应付账款,CFO或会计并要求转账。传统的培训材料根本不讨论此问题,因为它们只是对基本的社会工程和网络钓鱼感到不安。

最近在Moneytree和Seagate发生的事件,一个罪犯通过电子邮件向人力资源部门的人发送电子邮件,假装是CEO或其他方,并要求他们向他发送员工的税务相关信息,以及追究善政的人们将抵制应付帐款盗窃案,其中犯罪分子使用某些借口(通常假装为首席执行官)让那些部门将资金转入帐户。治理将详细说明发布信息或汇款的具体过程。应当随机拒绝要求发布信息的随机电子邮件,并且应该指示发件人,甚至是CEO,都应遵循所定义的程序或准则。

要检查应提供哪些意识信息,您必须首先考虑一些政策,程序或准则,应详细说明批准和处理付款的过程。我假设来自任何人的电子邮件或电话都不是发出付款的整个正式批准过程。

虽然对于提高认识的程序强调网络钓鱼和社会工程可能有所帮助,但它们需要强调与释放付款有关的程序和准则。对于安全性的所有方面都应该这样做。

但是,专注于实施现成视频的程序几乎无法解决典型情况下的特定行为。关于社会工程学的典型的3分钟宣传视频将无法解决所有职务的具体管理问题,并且不会包括发布税收信息或针对该公司的资金转移的详细过程。适当的治理应详细说明请求采取措施的过程。它应详细说明谁可以提出请求,什么是批准过程以及应执行的任何验证过程。

不幸的是,治理通常被视为您与审计师一起玩的游戏。公司尝试仅编写足够的策略,过程和准则,因此它们不会在审计报告中被列为例外。然后将生成的文档放在架子上,直到进行下一次审核。适当的治理应切实可行。

意识计划应将治理视为计划内容的驱动力。虽然可以考虑进行一些基于计算机的培训,但是意识计划应该更多。必须有许多通信方式。必须从治理中提取针对特定人群的特殊人群的信息。

[也是CSO: 如何制定有效的安全意识计划 ]

虽然意识的某个部分涉及激励人们去做正确的事情,但是意识需要指明那些正确的事情是什么。不能将其委派给现成的视频。当然,有一些行业最佳实践和某些行为可能被认为是普遍的,但是如果您想要制定一个有效的认识计划,而该计划应超出显而易见的范围,则需要确保您查看适当的政策,程序和指南,并确保这是您的意识计划所倡导的适当行为。如果这些文件尚不存在,则您的安全程序可能首先会遇到重大问题。

相关视频:

版权© 2016 IDG通讯,Inc.