Votre organisation prend-elle la sécurité au sérieux? Vos utilisateurs savent-ils comment repousser les attaques d'ingénierie sociale? Le cryptage des données est-il activé sur les périphériques portables de votre entreprise? Si vous avez répondu «non» ou «je ne sais pas» à l’une de ces questions, votre organisation n’offre pas une formation adéquate en matière de sensibilisation à la sécurité.
Wikipedia définit la sensibilisation à la sécurité comme la connaissance et l’attitude des membres d’une organisation en ce qui concerne la protection des actifs matériels et informatiques de l’organisation.
En bref: les lèvres desserrées coulent les navires. C'est vraiment l'essentiel de la sensibilisation à la sécurité, Charlie Brown.
Si vous êtes responsable des actifs informationnels de votre organisation, vous devez absolument développer et mettre en œuvre un programme de formation à la sécurité. L’objectif devrait être de sensibiliser vos employés au fait qu’il ya dans le monde de mauvaises personnes qui veulent voler des informations et endommager les ressources de l’organisation.
Un bon programme de formation à la sensibilisation à la sécurité suscitera un sentiment de fierté quant à la propriété des données et des ressources de votre organisation. Les employés verront les menaces qui pèsent sur leur organisation comme des menaces sur leur gagne-pain. Un mauvais programme de sensibilisation à la sécurité rendra les gens paranoïaques et irrités.
Regardons quelques astuces pour créer un programme efficace de formation à la sensibilisation à la sécurité:
Éduquer les utilisateurs sur les types de menaces du monde réel qu'ils peuvent rencontrer
La formation à la sensibilisation à la sécurité doit inclure l'éducation des utilisateurs sur les concepts de sécurité tels que la reconnaissance des attaques d'ingénierie sociale, des attaques de logiciels malveillants, des tactiques de phishing et d'autres types de menaces qu'ils sont susceptibles de rencontrer. Consultez notre page Combattre la cybercriminalité pour obtenir une liste des menaces et techniques cybercriminelles.
Enseigner l'art perdu de la construction de mot de passe
Beaucoup d'entre nous savent comment créer un mot de passe fort, mais il y a encore beaucoup de gens qui ne réalisent pas à quel point il est facile de déchiffrer un mot de passe faible. Expliquez le processus de piratage des mots de passe et le fonctionnement des outils de piratage hors ligne tels que ceux qui utilisent Rainbow Tables. Ils ne comprendront peut-être pas tous les détails techniques, mais ils verront au moins à quel point il est facile de déchiffrer un mot de passe mal construit, ce qui les incitera peut-être à être un peu plus créatifs au moment de créer un nouveau mot de passe.
Focus sur la protection des informations
De nombreuses entreprises disent à leurs employés d'éviter de discuter de leurs affaires pendant qu'ils déjeunent car on ne sait jamais qui pourrait les écouter, mais ils ne leur disent pas toujours de regarder ce qu'ils disent sur les sites de médias sociaux. Une simple mise à jour de statut Facebook indiquant à quel point vous êtes fâché que le produit sur lequel vous travaillez ne soit pas publié à temps pourrait être utile aux concurrents susceptibles de consulter votre statut si vos paramètres de confidentialité sont trop permissifs. Apprenez à vos employés que les tweets perdus et les mises à jour de statut coulent les navires.
Les entreprises rivales peuvent suivre les médias sociaux à la recherche d’employés de leurs concurrents pour gagner l’influence sur l’intelligence produit, qui travaille sur quoi, etc.
Les médias sociaux sont encore une frontière relativement nouvelle dans le monde des affaires et de nombreux responsables de la sécurité ont du mal à les gérer. L'époque du blocage du pare-feu de la société est révolue. Les médias sociaux font désormais partie intégrante des modèles économiques de nombreuses entreprises. Éduquez les utilisateurs sur ce qu'ils devraient et ne devraient pas publier sur Facebook, Twitter, LinkedIn et d'autres sites de médias sociaux.
Sauvegardez vos règles avec des conséquences potentielles
Les politiques de sécurité sans dents ne valent rien pour votre organisation. Obtenez le soutien de la direction et créez des conséquences claires pour les actions ou l'inaction de l'utilisateur. Les utilisateurs doivent savoir qu'ils ont le devoir de protéger les informations en leur possession et faire de leur mieux pour les protéger.
Faites-leur savoir qu'il y a des conséquences à la fois civiles et pénales à divulguer des informations sensibles et / ou exclusives, à altérer les ressources de l'entreprise, etc.
Ne pas réinventer la roue
Vous n'êtes pas obligé de partir de zéro. L'Institut national des normes et de la technologie (NIST) a littéralement écrit le livre sur la manière de développer un programme de formation à la sécurité, et le meilleur de tous, c'est gratuit. Téléchargez la publication spéciale NIST 800-50 - Création d'un programme de sensibilisation et de formation à la sécurité des technologies de l'information pour apprendre à créer le vôtre.
