Tippek és trükkök biztonsági oktatások és tudatossági kampányok szervezőinek Solymos Ákos CISM, CRISC, ISO27001LA Quadron Kibervédelmi Kft.
A felhasználók sokfélék, sokféle igénnyel! Átlag felhasználó Vezető Informatikus Projektvezető Fejlesztő Újbelépő Külsős Nyugdíjas Szülő Pályakezdő Gyerek
Emberi tényező Bár (majdnem) minden folyamat informatikai infrastruktúrával támogatott ma már a szervezeteknél, ezek mögött az EMBER áll. Alkalmazottak, külsősök, partnerek, ügyfelek Az emberi tényező kapcsolatba kerül: Adatokkal Fizikai eszközökkel, adathordozókkal Alkalmazásokkal, programokkal Más emberekkel És veszélyezteti is ezen értékeket az alábbiakkal: Tudatlanság Hanyagság, figyelmetlenség Befolyásolhatóság, Segítőkészség Naivitás Extrém esetben nagyon eltérő gondolkodásmód, esetleg bosszúvágy
Emberi tényezőből fakadó hibák Az információbiztonság nem csak technológiai probléma, hanem elsősorban emberi probléma Támadók Célpontok és áldozatok Deloitte Global Security Study: Az információs rendszerek hibáinak 73% vélhetően emberi hibára és mulasztásokra vezethető vissza Ez a 73% emberi hiba és mulasztás pedig 70%-ban a tudatosság hiányára vezethető vissza /Forrás: Deloitte: Blurring the lines 2013 TMT Global Security Study /
Munkavédelmi oktatás anno:
Manapság: Elektronikus munkavédelmi oktatás miért nem kötelező mindenhol?
Belső szabályok, szabályzatok oktatása Tudatosítás A szabály semmit sem ér, ha elhatározás-szerűen viseled, ha komoran és konokul csörömpöl rajtad; a szabály akkor jó, ha érzéseidbe ivódik és finoman, hajlékonyan támogat. Weöres Sándor
A biztonságtudatosság kialakítása olyan ismeretek, gondolkodásmód és viselkedésminták átadása a munkatársak és az ügyfelek részére, amelyek alkalmazásával csökkenteni tudják a maguk és a szervezet kockázati szintjét, a kockázatokból fakadó költségeket és veszteségeket a munkahelyen és otthon, saját informatikai környezetükbben is. A biztonságtudatosság kialakításának céljai: Belső szabályokkal, szabályozásokkal szembeni ellenérzések leküzdése - megértés Kockázatalapú gondolkodás Egészséges paranoia kialakulása Magabiztosabb munkavállalók, hatékonyabb munkavégzés Biztonságosabb infrastruktúra (pl. hibák és gyengeségek jelzése) Hatékonyabb incidenskezelés, gyorsabb reagálási idők Elégedettebb ügyfelek Biztonsági területek elfogadottságának növekedése jobb együttműködés
Tudatossági kampány felépítése Figyelem felkeltése Marketing el kell adni a terméket Plakátok, matricák, szórólapok, ajándékok, nyeremények Megértés Vezetői támogatás deklarálása Kampány célja és tartalma Tanulás Leghatásosabb az elektronikus megjelenés (Intranet) Cikkek, esettanulmányok, rövid képregények, karikatúrák Visszamérés Elfogadás és elköteleződés Alkalmazás Látogatottsági adatok, elégedettség szavazás, totó eredmények Szubjektív tényleges hatás nagyon nehezen mérhető Kérdések a kampányanyaghoz, a totóhoz Kérdések a napi munka során, privát kérdések Incidensek jelzése, gyengeségek és szabályozási pontatlanságok jelzése
Tervezés: - A biztonságtudatossági tevékenység beépítése a biztonsági stratégiába vezetői támogatás megszerzése - Szerepeltetés az éves feladattervekben - Költségtervezés - Egyeztetés a résztvevő területekkel, témakörök kitalálása: Biztonság (fizikai biztonság, tűz- és munkavédelem, humán biztonság) BCM és krízismenedzsment (üzletmenet folytonosság, katasztrófa-elhárítás tervezés) Személyes adatok védelme, compliance Információbiztonság - Operatív előkészítés
- Marketingért felelős szervezeti egység - Marketing eszközök, látványtervek, szóróanyagok megtervezése a témakörök alapján - Egyedi igényekre egyedi árakat fogunk kapni, megdrágíthatja a kampányt. - Fentiek legyártatása, szállítása - Hostessek szervezése - PR/kommunikációs szervezeti egység - Tájékoztatási csatornák leegyeztetése belső kommunikáció megtervezése - Intranet felület, bannerek, ütemezett hírek, céges újság, fotók elkészítése - Beszerzés - A normál (marketing és PR) csatornákon kívüli beszerzések intézése (pl. díjak és ajándékok, plakátkeretek) - Üzemeltetés (telephelyek és központi épületek) - Szóróanyagok terítése, épületeket érintő tevékenységek egyeztetése (liftmatrica, plakátok kihelyezése, leszedése, reklámajándékok kiosztása) - IT szervezet - Napi tippekhez az AD policy változtatása, - Kampányhoz kapcsolódó képernyővédők központi terítése - Kontrolling/Számvitel - A költségek megfelelő elszámolása, átcsoportosítása - Díjak, nyeremények adózási kérdései - Menedzsment - Díjátadás, értékelés, interjú, fókuszban tartás
Figyelemfelkeltés Plakátok Reklámajándékok Matricák (notebook és multigépek) Liftmatrica Tálca alátét Intranet banner Tudásátadás csatornái Saját Intranet oldal a biztonsági területeknek Céges újság Szórólapok Intranet hírek Üdvözlőképernyő napi tipp Képernyővédő Motiváció Heti díjak Mp3 lejátszók 1/10 uncia aranyérmék Internet biztonsági szoftvercsomagok Fődíjak DSLR fényképezőgép 10g aranylapka Wellness hétvége
QUADRON - Biztonságtudatossági szolgáltatások Általános biztonságtudatossági oktatás 2 óra (tantermi) Otthoni védendő adatok, otthonbiztonság, közösségi oldalak, bankkártyás csalások, internetbankolás, internetes zaklatás, stb. Okos eszköz, okos gyerek, okos szülő? 2 óra (tantermi) Hogy szót érts a gyerekeddel! Mi az az IoT? Okoseszközök, legnépszerűbb appok, veszélyes szolgáltatások, védelmi programok, szülői felügyelet, stb. Mindent a zsarolóvírusokról és megelőzésükről 1 óra (tantermi/e-learning) Mik azok és hogy működnek? Felismerés, kezelés, de főleg megelőzés. Cégspecifikus incidenskezelés
QUADRON - Symantec Security Awareness program Web alapú online tréning (SCORM 1.2) 10-15 perces látványos, hangalámondásos, animált modulok 51 modul angolul, ebből a 10 legfontosabb magyarul hamarosan Ellenőrző kérdések Testreszabhatóság: Company branding, saját szabályzatokra mutató linkek beillesztése Kapcsolódó marketing anyagok (plakátok, kártyák) Egyedi PCI-DSS, HIPAA, Information Privacy/Personal Data Protection modulok
QUADRON Symantec Phishing Readiness szolgáltatás Real results at Fortune 500 company Cégre szabott teszt-adathalász levél, célpontok, akár teljes szervezeti egységek Részletes riport a megnyitásról, letöltésről, rákattintásról Rendszeresen megismételhető, idősorok ábrázolása, integrált tréning.
uestions? Köszönöm a figyelmet! Solymos Ákos CISM, CRISC, ISO27001LA asolymos@quadron.hu