Szkolenie z zakresu bezpieczeństwa w Internecie

Internet Security Awareness Training (ISAT) to szkolenie dla członków organizacji dotyczące ochrony różnych zasobów informacyjnych tej organizacji. ISAT jest podzbiorem ogólnego w zakresie świadomości bezpieczeństwa (SAT).

nawet małe i średnie przedsiębiorstwa zapewniały takie szkolenia, ale organizacje, które muszą przestrzegać przepisów rządowych (np. Ustawa Gramma-Leacha-Blileya , Standard bezpieczeństwa danych branży kart płatniczych , Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych , Sarbox ) zwykle wymagają formalnego ISAT co roku dla wszystkich pracowników. Często takie szkolenie odbywa się w formie kursów online.

ISAT, określany również jako Security Education, Training, and Awareness (SETA), organizacje szkolą i budują świadomość zarządzania bezpieczeństwem informacji w swoim środowisku. Dla organizacji korzystne jest, gdy pracownicy są dobrze przeszkoleni i czują się uprawnieni do podejmowania ważnych działań w celu ochrony siebie i danych organizacji. Cel programu SETA musi opierać się na rolach użytkowników w organizacjach, aw przypadku stanowisk, które narażają organizacje na zwiększony poziom ryzyka, muszą być wymagane kursy specjalistyczne.

Pracownicy i kontrahenci stanowią zagrożenie dla organizacji, które szkolenia mogą pomóc zmniejszyć.

Zasięg

Istnieją ogólne tematy, które należy omówić na szkoleniu, ale każda organizacja musi mieć strategię zakresu opartą na swoich potrzebach, ponieważ zapewni to, że szkolenie będzie praktyczne i obejmie krytyczne tematy istotne dla organizacji. Ponieważ krajobraz zagrożeń zmienia się bardzo często, organizacje powinny stale weryfikować swoje programy szkoleniowe, aby zapewnić zgodność z aktualnymi trendami.

Tematy poruszane w ISAT obejmują:

• Odpowiednie metody ochrony wrażliwych informacji w systemach komputerów osobistych , w tym polityka haseł
• Różne problemy związane z bezpieczeństwem komputera, w tym spam , złośliwe oprogramowanie , phishing , socjotechnika itp.
• Konsekwencje niewłaściwej ochrony informacji, w tym potencjalna utrata pracy, konsekwencje ekonomiczne dla firmy, szkody wyrządzone osobom, których prywatne dane zostały ujawnione, oraz możliwe sankcje cywilne i karne.

Świadomość bezpieczeństwa w Internecie oznacza, że ​​rozumiesz, że ludzie aktywnie próbują ukraść dane przechowywane na komputerach Twojej organizacji. (Często koncentruje się to na nazwach użytkowników i hasłach, dzięki czemu elementy przestępcze mogą ostatecznie uzyskać dostęp do kont bankowych i innych wartościowych zasobów informatycznych). Dlatego tak ważna jest ochrona zasobów organizacji i zapobieganie takim sytuacjom.

Ogólny zakres powinien obejmować takie tematy, jak bezpieczeństwo haseł, phishing poczty e-mail, inżynieria społeczna, bezpieczeństwo urządzeń mobilnych, bezpieczeństwo danych wrażliwych i komunikacja biznesowa. Natomiast osoby wymagające specjalistycznej wiedzy są zwykle zobowiązane do odbycia technicznych i dogłębnych kursów szkoleniowych. Załóżmy, że organizacja stwierdzi, że najlepiej jest skorzystać z jednego z dostępnych na rynku narzędzi szkoleniowych, musi upewnić się, że wyznaczyła cele, które szkolenie może spełnić, w tym potwierdzenie, że szkolenie zapewni pracownikom wiedzę pozwalającą zrozumieć ryzyka i zachowania potrzebne w zarządzanie nimi, działania, które należy podjąć w celu zapobiegania lub wykrywania incydentów bezpieczeństwa, używanie języka łatwo zrozumiałego dla uczestników szkolenia oraz zapewnienie rozsądnej ceny.

Organizacjom zaleca się opieranie treści szkoleniowych ISAT na rolach pracowników i ich kulturze; polityka powinna kierować tym szkoleniem dla wszystkich pracowników i podała następujące źródła jako przykłady materiałów referencyjnych:

• Narodowego Instytutu Standardów i Technologii (NIST) 800-50, Tworzenie programu świadomości i szkolenia w zakresie bezpieczeństwa technologii informatycznych
• Międzynarodowa Organizacja Normalizacyjna (ISO) 27002:2013, Technologia informacyjna — Techniki bezpieczeństwa — Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji
• Międzynarodowa Organizacja Normalizacyjna (ISO) 27001:2013, Technologia informacyjna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji
• COBIT 5 Dodatek F.2, Szczegółowe wytyczne: usługi, infrastruktura i aktywator aplikacji, świadomość bezpieczeństwa

Szkolenie musi koncentrować się na aktualnych zagrożeniach specyficznych dla organizacji i skutkach, jeśli zmaterializują się one w wyniku działań użytkowników. Praktyczne przykłady i sposoby radzenia sobie ze scenariuszami pomagają użytkownikom poznać odpowiednie środki, które należy podjąć. Dobrą praktyką jest okresowe szkolenie klientów określonych organizacji w zakresie zagrożeń, jakie napotykają ze strony osób o złych intencjach.

Strategia pokrycia SAT powinna wynikać z polityki organizacji. Może naprawdę pomóc w określeniu poziomu szczegółowości szkolenia i miejsca, w którym powinno ono zostać przeprowadzone na poziomie globalnym lub na poziomie jednostki biznesowej lub kombinacji obu. Polityka upoważnia również odpowiedzialną stronę w organizacji do prowadzenia szkolenia.

Znaczenie

Pracownicy mają kluczowe znaczenie dla tego, czy organizacje zostały naruszone, czy nie; musi istnieć polityka budowania świadomości i szkolenia ich w zakresie pojawiających się zagrożeń i działań, które należy podjąć w celu ochrony wrażliwych informacji i zgłaszania wszelkich zaobserwowanych nietypowych działań w środowisku korporacyjnym.

Badania wykazały, że SAT pomógł ograniczyć cyberataki w organizacjach, zwłaszcza jeśli chodzi o phishing, ponieważ stażyści nauczyli się identyfikować te tryby ataku i dali im pewność podjęcia odpowiednich działań.

Następuje wzrost liczby ataków phishingowych i coraz ważniejsze staje się zrozumienie, jak działają te ataki, a także działań wymaganych do zapobiegania im, a SAT wykazał znaczący wpływ na liczbę udanych ataków phishingowych na organizacje.

Wymagania dotyczące zgodności

Różne przepisy i przepisy nakazują SAT organizacjom z określonych branż, w tym ustawa Gramm – Leach – Bliley Act (GLBA) dla usług finansowych, federalna ustawa o modernizacji bezpieczeństwa informacji z 2014 r. Dla agencji federalnych oraz ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO ).

Federalna ustawa o modernizacji bezpieczeństwa informacji

Pracownicy i kontrahenci w agencjach federalnych są zobowiązani do corocznego szkolenia w zakresie świadomości bezpieczeństwa, a program musi uwzględniać związane z pracą zagrożenia bezpieczeństwa informacji, które zapewniają im wiedzę pozwalającą zmniejszyć zagrożenia bezpieczeństwa.

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych zawiera Zasadę Bezpieczeństwa i Zasadę Prywatności, które wymagają stworzenia programu szkolenia w zakresie świadomości bezpieczeństwa i zapewnienia odpowiedniego przeszkolenia pracowników.

Standard bezpieczeństwa danych branży kart płatniczych

Payment Card Industry Security Standards Council , rada zarządzająca interesariuszy w branży płatniczej, utworzona przez American Express, Discover, JCB International, MasterCard i Visa, która opracowała DSS jako wymóg dla branży płatniczej. Wymaganie 12.6 wymaga od organizacji członkowskich ustanowienia formalnego programu świadomości bezpieczeństwa. Istnieje opublikowany przewodnik dla organizacji, którego należy przestrzegać podczas konfigurowania programu.

Przepisy dotyczące szkoleń w Stanach Zjednoczonych

Niektóre państwa nakazują szkolenie w zakresie świadomości bezpieczeństwa, podczas gdy inne nie, ale po prostu zalecają szkolenie dobrowolne. Wśród państw, które wymagają szkolenia dla swoich pracowników są m.in.

• Colorado (The Colorado Information Security Act, Colorado Revised Statutes 24-37.5-401 i nast.)
• Connecticut (13 FAM 301.1-1 Szkolenie w zakresie świadomości cyberbezpieczeństwa (PS800))
• Floryda (rozdział 282 Statutu Florydy)
• Gruzja (zarządzenie wykonawcze GA EO182 wymagane szkolenie w ciągu 90 dni od wydania)
• Illinois (hrabstwo Cook)
• Indiana (IN H 1240)
• Louisiana (Louisiana Division of Administration, Office of Technology Services, s. 52: LA H 633)
• Maryland (Polityka bezpieczeństwa IT 20-07)
• Montana (Obowiązkowe szkolenie cybernetyczne dla pracowników stanowych władzy wykonawczej)
• Nebraska
• Nevada (wymagania dotyczące pracowników poszczególnych agencji — Standard bezpieczeństwa państwa 123 — Bezpieczeństwo IT)
• New Hampshire
• New Jersey ( NJ A 1654)
• Karolina Północna
• Ohio (IT-15 — Świadomość i szkolenie w zakresie bezpieczeństwa)
• Pensylwania
• Teksas
• Utah
• Vermont
• Wirginia
• Zachodnia Wirginia (Sekcja 5A-6-4a Kodeksu WV)

Techniki treningowe

Poniżej przedstawiono kilka typowych technik szkoleniowych, chociaż niektóre z nich można łączyć w zależności od środowiska operacyjnego:

• Interaktywne szkolenie wideo — ta technika umożliwia szkolenie użytkowników przy użyciu dwukierunkowych interaktywnych instrukcji audio i wideo.
• Szkolenie internetowe — ta metoda umożliwia pracownikom lub użytkownikom samodzielne uczestnictwo w szkoleniu i zwykle zawiera komponent testowy w celu ustalenia, czy nauka miała miejsce. Jeśli nie, użytkownicy mogą mieć możliwość ponownego przystąpienia do kursu i testu, aby upewnić się, że materiał jest w pełni zrozumiały.
• Szkolenia nieinternetowe, oparte na komputerze — niektóre organizacje wolą nie korzystać z Internetu lub mieć lokalizacje bez łączności z Internetem; stąd ta technika zapewnia im skuteczny sposób ładowania programów szkoleniowych na komputery dla użytkowników.
• Szkolenie prowadzone przez instruktora na miejscu — jest to bardzo popularna technika szkolenia w zakresie świadomości bezpieczeństwa, ale nie jest skuteczna w przypadku dużych organizacji. Niektóre organizacje stosują tę metodę do wstępnego szkolenia wdrożeniowego z pracownikami, ponieważ większość wymaga od nich obecności na miejscu w celu wdrożenia.

Szkolenia powinny być przeprowadzane podczas onboardingu oraz co najmniej raz w roku dla pracowników lub innych osób trzecich mających dostęp do systemów informatycznych organizacji; medium odbywa się za pośrednictwem instrukcji bezpośrednich lub online, zazwyczaj koncentrując się na rozpoznawaniu objawów ataku i zabezpieczaniu poufnych danych za pomocą kilku mechanizmów bezpieczeństwa, w tym haseł, szyfrowania i bezpiecznych sesji.

ISAT uczy również i odświeża pamięć uczestników na temat różnych aktualnych zagrożeń, pojawiających się zagrożeń bezpieczeństwa, wektorów ataków, polityki organizacji związanej z bezpieczeństwem informacji oraz podstawowych zasad lub norm utrzymania bezpieczeństwa w Internecie.

Organizacje rozważają kilka opcji, jeśli chodzi o media szkoleniowe, aby zapewnić użytkownikom szkolenie w zakresie świadomości bezpieczeństwa, ale badania wykorzystujące teorię uczenia się, teorię bogactwa mediów i teorię obciążenia poznawczego wykazały, że organizacje nie muszą dużo inwestować w wysoce bogate media, ponieważ nie prowadzi do poprawy zachowań użytkowników; najważniejsza jest treść szkolenia.

Usługi SAT są często łączone z dodatkowymi narzędziami i usługami związanymi z pracownikami firmy, takimi jak:

• ciemnej sieci — Wykrywanie firmowych adresów e-mail lub domen związanych z naruszeniem danych, powiadamianie administratorów o ujawnionych danych powiązanych z adresem e-mail pracownika.
• Zgodność z zasadami — prowadzenie użytkowników przez zasady zarządzania cyberbezpieczeństwem. Wysyłaj zasady do użytkowników, aby potwierdzali, śledzili i raportowali zgodność.
• Oceny ryzyka — oceniaj i identyfikuj zagrożenia i słabe punkty Twojej firmy lub klienta.

Zobacz też

• Kontrola dostępu
• Bezpieczeństwo komputera
• Świadomość cyberbezpieczeństwa
• Zapewnienie informacji
• Bezpieczeństwo informacji
• Świadomość bezpieczeństwa informacji
• ochrona Internetu
• Bezpieczeństwo sieci
• Wyłudzanie informacji
• Bezpieczeństwo fizyczne
• Bezpieczeństwo
• Świadomość bezpieczeństwa
• Kontrola bezpieczeństwa
• Zarządzanie bezpieczeństwem
• Inżynieria społeczna