Question:
Comment créer une culture d'entreprise soucieuse de la sécurité de l'information?
RF03
2016-10-17 21:42:44 UTC
view on stackexchange narkive permalink

Les serveurs renforcés, les IPS, les pare-feu et toutes sortes de défenses ne peuvent pas résoudre les problèmes de sécurité si les gens fuient des informations sans le savoir simplement parce qu'ils sont mal orientés.

J'ai déjà essayé de leur donner des instructions mais ils ne le font tout simplement pas soins, ils ne peuvent pas se considérer comme un élément important de notre système de prévention des intrusions.

L'entreprise traite des informations sensibles, mais elle préfère ne pas y penser. Nos politiques sont parmi les meilleures que j'aie jamais vues, mais personne ne les suit à l'exception de l'équipe de sécurité.

Que dois-je faire? Dois-je leur jeter à la face les journaux du nombre d'attaques auxquelles mon équipe est confrontée parce que les employés contournent toute la sécurité?

Si mon équipe tombe en panne, le système de télécommunication de mon pays peut être complètement affecté. Je pensais que c'était une motivation pour prendre soin de la sécurité, mais personne ne se soucie sauf nous parce que c'est notre travail.

Est-ce que quelqu'un a déjà fait face à une telle situation? Dois-je abandonner?

Je déteste promouvoir mon blog personnel, mais ... http://gophishyourself.co.uk/
L'équipe de sécurité n'est-elle pas en mesure de dicter et d'appliquer ses politiques?N'est-ce pas leur travail?La bonne vieille approche de la carotte et du bâton fonctionne ici!(bâton étant une réprimande, carotte étant un félicitations à la réunion hebdomadaire ...) Dans le cas de l'informatique, les administrateurs réseau devraient avoir le pouvoir de tout verrouiller à leur guise.Bien sûr, les anciens sont susceptibles de gémir et de gémir, mais l'avantage d'être dans une équipe de sécurité est que VOUS êtes celui qui établit les règles.
Cela pourrait également être une bonne question pour [The Workplace] (http://workplace.stackexchange.com/)
Souvent, les gens réagissent mieux aux histoires de catastrophes qu'aux séances d'information sur la façon de bien faire les choses.Essayez de faire un briefing sur «les choses qui vont mal la nuit et autres hacks», «Comment Stuxnet a réussi et autres trucs», etc.un peu d'abord, et l'humour est un bon moyen d'y parvenir.
Regardez Mr Robot ou tout autre film sur les pirates sur votre lieu de travail pour accroître la sensibilisation.Assurez-vous de fournir de la nourriture gratuite.
Lisez ceci avant de juger vos collègues comme indifférents http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf
Autre réflexion: les procédures suivantes ralentissent-elles leur flux de travail?Et subissent-ils des pressions pour faire avancer les choses rapidement?Si les deux sont vrais: assurez-vous que les gestionnaires savent PERMETTRE le temps supplémentaire et assurez-vous que les employés savent qu'ils ne seront PAS blâmés pour leur lenteur!
Les meilleurs designs sont ceux qui remplissent si bien leur devoir que vous ne le remarquez même pas.Je ne pense pas que les gens se soucieront jamais vraiment de la sécurité;vous pourriez leur jeter les journaux tous les jours et je doute que cela fasse une grande différence.Donc, la meilleure option est de sortir de leur chemin - rendre votre sécurité si facile à utiliser que le personnel finit par être sécurisé par défaut.Cela dépend bien sûr entièrement du bureau, mais par exemple, si vous utilisez des cartes à puce pour entrer et sortir, par exemple.utilisez-les également pour vous connecter.C'est un 123456 de moins à retenir.
J'ai déjà été employé dans une entreprise comme la vôtre et nous avions des politiques strictes avec des sanctions strictes en cas de violation, même problème, les gens ne les suivaient pas et la direction ne pouvait pas licencier tout le monde.Ensuite, nous avons tous dû lire le livre d'Ira Winkler "Les espions parmi nous" après avoir lu ce livre, j'ai compris pourquoi mon entreprise avait toutes ces politiques et a commencé à y participer, comme beaucoup d'autres employés.L'éducation va un long chemin et ce livre fait un excellent travail en expliquant la sécurité d'entreprise à l'homme ordinaire.
Si votre équipe est capable de faire face à l'attaque, pourquoi sont-elles un problème?Pourquoi est-ce même votre problème?Si vous êtes en mesure de documenter que quelqu'un d'autre n'a pas suivi les procédures de sécurité, votre travail est en sécurité.Combien de fonds sont disponibles et dans quelle mesure la sécurité nuit-elle à la productivité?Tout le monde a-t-il le matériel nécessaire pour mettre en œuvre les mesures?Votre sécurité implique-t-elle des personnes qui apprennent des étapes pour quoi que ce soit par cœur ou connaissent par cœur des exigences de mot de passe complexes?Les gens sont-ils de toute façon capables à distance de comprendre pourquoi des choses doivent arriver et de se souvenir des raisons?
Dix réponses:
schroeder
2016-10-17 21:56:12 UTC
view on stackexchange narkive permalink

Culture de haut niveau

D'après mon expérience, changer une culture de sécurité nécessite 3 étapes:

  1. Obtenir l'adhésion de la direction pour faire les choses autrement
  2. Obtenir un engagement personnel de la direction pour montrer la voie sur ce qui est important
  3. Donnez le ton grâce à des formations, des médias et des événements en personne où «des gens comme nous font des choses comme ça»

Voici la chose: la direction a pour mener la charge à ce sujet, avec l'aide des champions de la sécurité. La direction doit vouloir et encourager les contrôles techniques à s'appliquer à elle-même. Si la direction obtient des conditions spéciales, la partie est terminée.

Demandez à un manager, plus haut, mieux c'est, d'exprimer personnellement et publiquement son désir de participer dans un environnement correctement sécurisé. Faites-leur également exprimer les frustrations et les inconvénients. Mais communiquez également que les inconvénients sont importants pour la santé de l'entreprise.

"Je grogne le matin quand on me demande de changer mon mot de passe. Je pense que je l'ai changé il y a à peine [1 | 3] mois! Mais, je sais que quand je le fais, Je coupe la voie à un pirate informatique pour utiliser mes informations d'identification pour nuire à moi et à cette entreprise "

[oui, je suis conscient de la controverse concernant les changements fréquents de mot de passe, mais suivez l'exemple pour une seconde]

Ensuite, une fois que vous avez cette excellente base, commencez à transmettre ce message au niveau personnel à tout le monde.

Apprenez-leur à se sécuriser

Il peut être facile pour les gens de voir la politique de l'entreprise comme déconnectée de la réalité (avez-vous rempli vos rapports TPS?) . Donc, pousser dur sur la sécurité de l'entreprise peut être une bataille perdue. Au lieu de cela, pensez à enseigner aux gens comment se protéger et protéger leur famille. Montrez comment les pirates ont et compromettent les ordinateurs personnels et les appareils mobiles. En faisant cela, vous leur faites vraiment voir les dangers encourus. Une fois que vous avez cette adhésion, il est beaucoup plus facile de se concentrer sur les dangers au travail.

Faites-vous des dents

Si tout le monde s'entend avec les règles, c'est bien, mais vous devez avoir les pires conséquences pour les personnes qui ne se conforment pas. C'est un sujet délicat et vous devez travailler avec les RH, le GRC et la direction pour que cela fonctionne.

Soit dit en passant, autant la direction doit s'impliquer, elle doit également se retirer et laisser l'équipe de sécurité faire ce qu'elle doit faire le moment venu, même si cela signifie changer une procédure d'entreprise de longue date.Une grande partie de la direction a tendance à bloquer tout effort, privilégiant la commodité à la sécurité, sans nécessairement être la mieux placée pour prendre la décision.Une bonne direction discutera du problème avec l'équipe de la sec, élaborera des procédures, mais prendra ensuite du recul et mordra la balle comme tout le monde.
Je dirais que la partie «dents» de tout cela doit être soulignée.Trouvez un gestionnaire de milieu de gamme qui enfreint à plusieurs reprises la politique, malgré de nombreuses interventions de votre part et travaillez avec la direction et les RH pour les faire licencier (en supposant que les contrats de travail ont une base juridique suffisante pour de telles actions).
Je pense que la seule chose qui manque, c'est que la sécurité doit être facile.Si votre mot de passe ne peut pas avoir un [Q ou Z] (http://security.stackexchange.com/questions/57909/why-would-you-not-permit-q-or-z-in-passwords) ou un[chiffre à la fin] (http://security.stackexchange.com/questions/139795/why-would-a-password-requirement-prohibit-a-number-in-the-last-character), les gens ne le sont pasva acheter dans la culture de la sécurité.
Apprenez des entreprises de haut niveau qui ont été victimes de piratage, du moins celles qui ont travaillé le plus dur pour se rétablir.Après le choc initial, ils ont fait des changements de haut niveau.Ils ont changé leurs organisations de "Directeur de la sécurité" ou "VP de la sécurité" à la C-suite.Un RSSI relève directement du PDG, et non du DSI, et peut effectuer des changements à l'échelle de l'entreprise d'une manière qu'un gestionnaire, un directeur ou même un vice-président ne peut pas.Ce n'est ni facile ni bon marché;mais c'est beaucoup moins cher de le faire avant que les pirates ne causent des dommages plutôt qu'après.
Rich
2016-10-18 04:57:05 UTC
view on stackexchange narkive permalink

Considérez vos utilisateurs comme des clients. Vous les aidez à répondre aux exigences de leur entreprise en matière de sécurité des données. Cela signifie que c'est votre travail de garder les exigences qui leur sont imposées aussi raisonnables, justifiées et limitées que possible. C'est de l'ingénierie UX.

Exemples:

  • si vous avez du mal à obtenir une connexion correcte sur un système, les groupes de travail partageront des mots de passe sur des post-its ou des tableaux blancs .

  • Le ' théâtre de la sécurité' réduira la confiance dans le concept selon lequel des précautions sont nécessaires (obliger les gens à changer chaque semaine les mots de passe de 20 caractères juste pour lire l'entreprise Intranet).

  • si l'armée allemande de la Seconde Guerre mondiale ne pouvait pas obliger ses opérateurs à suivre les instructions de sécurité (comme changer fréquemment les paramètres du rotor Enigma), et étant donné qu'ils pouvaient tirer sur des gens pour désobéissance, quoi chance avez-vous avec un simple hector?

Tellement ça.Le théâtre de sécurité rend difficile la sécurité.Il est essentiel de rendre la bonne chose facile et la mauvaise chose difficile.
Mark Buffalo
2016-10-18 09:52:52 UTC
view on stackexchange narkive permalink

C'est un problème vraiment difficile, mais si vous avez la possibilité de changer les choses, vous devriez tout donner.

Vous ne pouvez pas changer une culture du jour au lendemain. Cependant, vous pouvez prendre certaines mesures pour commencer à changer la culture pour le mieux.

Application des règles

C'est le premier sur ma liste. Je suis tout à fait d'accord ici pour dire que vous devez appliquer les politiques de sécurité et discipliner ceux qui ne les suivent pas. Cela inclut tout le monde de haut en bas.

Préférez-vous mettre l'entreprise en danger en laissant ceux qui continuent à se tromper à plusieurs reprises ... eh bien, continuer à se tromper à plusieurs reprises? N'exposez pas votre entreprise à des dangers inutiles.

Les gens qui sont malhonnêtes dans de petites choses sont malhonnêtes dans de plus grandes choses et ne valent pas le temps qu'il faut pour les discipliner. Ces gens sont en haut de ma liste de recommandations de licenciement. Quiconque est honnête sur ce qu'il a fait de mal serait suspendu au pire, à moins qu'il ne répète sans cesse les mêmes erreurs.

Si quelqu'un a un désaccord, donnez-lui un endroit pour exprimer son opinion, mais ne vous contentez pas de rouler pour eux. Expliquez doucement pourquoi ... certains utilisateurs ont besoin de savoir pourquoi, c'est juste comment ils pensent. Ces utilisateurs posent presque toujours des questions sur les raisons pour lesquelles ils devraient faire quelque chose. Soyez prêt à leur enseigner.

Si quelqu'un refuse de suivre les politiques de sécurité, vous devez trouver des employés qui le feront. C'est vraiment aussi simple que cela.

Cependant, personne n'a le temps pour une liste géante de règles

Je suis d'avis qu'avoir trop de règles nuit à ceux qui font leur travail. C'est pourquoi vous devriez avoir quelques règles spécifiques pour tout le monde, puis créer des règles spécifiques au rôle .

Dans la comptabilité, Bobby ne s'adresse pas aux clients. Je n'ai pas besoin de lui apprendre les débordements de tampon, les injections SQL, xss, csrf, peu importe. Cathy Down in Finance n'a pas besoin de connaître les techniques de renforcement des serveurs.

Buff Markalo en ingénierie a certainement besoin de savoir, cependant. Et il doit comprendre les politiques qui lui sont enseignées.

Rendre la formation facile à assimiler et simple à comprendre

Vous devez connaître votre public avant même de commencer, sinon vous êtes condamné avant de commencer.

N'oubliez pas que les exemples sont SUPER utiles pour faire comprendre aux gens ce qu'ils lisent. Je vais énumérer quelques sujets super basiques pour vous aider à démarrer. N'hésitez pas à y ajouter des éléments, mais ne vous en faites pas trop.

  1. Développeurs .
    • Rendez-le spécifique à la plate-forme et donnez des exemples spécifiques à la plate-forme.
    • Vous pouvez le rendre court et simple. Vous pouvez même développer des vidéos faciles à digérer qui ne durent qu'environ 5 minutes pour chacune des 10 vulnérabilités OWASP.
    • .gitignore, ne pas stocker les mauvaises informations sur GitHub, etc.
    • Tout ce qui concerne votre environnement.
  2. Employés en contact avec les clients
    • Non au stockage des cartes de crédit, ou vous êtes renvoyé .
    • À faire et à ne pas faire.
  3. Tout le monde
    • Explication du phishing / chasse à la baleine / ingénierie sociale, et comment ils fonctionnent.
    • Tout ce qui concerne leur rôle. Face à la clientèle? Ne touchez en aucun cas aux données des titulaires de carte.
    • Ne partagez pas vos mots de passe / comptes
    • Ne configurez pas de ressources non autorisées (serveurs, machines virtuelles, etc.).
  4. Administrateurs système
    • Procédures de renforcement appropriées
    • Urgence de mise à niveau des composants vulnérables
    • Tout ce qui concerne leur environnement.

Et mettez toujours à jour chaque fois que vous trouvez un problème qui n'existait pas auparavant. Vous n'obtiendrez jamais tout , mais vous pouvez obtenir presque.

Orientation sur la sécurité des nouveaux employés

Cela va sans dire. Vous devez vous assurer que toutes les recrues suivent une orientation de sécurité. Si vous créez un package d'apprentissage compréhensible qui suppose que tout le monde a une courte durée d'attention, vous aurez beaucoup plus de succès que des vidéos de sécurité de plus de 2 heures avec un gars qui résonne d'une voix sérieuse. Je ne veux même pas regarder ces conneries.

Les questionner

Vous aurez besoin de voir s'ils comprennent réellement ce qu'ils apprennent. Faites participer tout le monde à un quiz annuel et ne permettez pas à ceux qui échouent de continuer à travailler à moins qu'ils ne réussissent.

Les quiz de renforcement et les quiz sur les compétences générales sont également utiles.

N'oubliez pas de connaître votre public cible. Si votre public cible aime l'humour immature, utilisez-le dans les quiz.

Traquez les problèmes de sécurité et affrontez ceux qui les causent

Vous avez un chasseur? Demandez-leur de rechercher les problèmes de sécurité sur votre ou vos propres réseaux et de les expliquer en profondeur aux équipes responsables de ces failles. Documentez tout ce qu'ils ont mal fait, approchez-les et dites-leur que cela doit être corrigé.

S'ils refusent de corriger ou de modifier, consultez la Application des règles ci-dessus.

Ne croyez rien de ce que les utilisateurs vous disent. Vérifiez toujours ce qu'ils disent. Les personnes honnêtes sont les personnes les plus faciles à travailler au monde. Les personnes malhonnêtes créent beaucoup plus de problèmes qu’elles n’aident.

Récapitulatif

  1. Application des règles
  2. Aucune règle autoritaire. N'empêchez pas les gens de faire leur travail.
  3. Rendez-le facile à digérer et simple à comprendre. KISS fonctionne vraiment bien.
  4. Orientation sur la sécurité des nouveaux employés.
  5. Testez-les.
  6. Traquez les problèmes de sécurité et confrontez ceux qui les créent.

    7. Avec le temps, les gens changeront. C'est parfois une bataille difficile, mais pour laquelle il vaut la peine de se battre.

C'est assez complet.Un problème auquel je ne pense pas que vous vous êtes directement adressé est qu'il y a parfois des règles légitimes qui disent: ne faites pas X, mais il n'y a pas d'approche approuvée qui permet de répondre à un besoin commercial donné.En d'autres termes, le but de ces politiques doit être: «comment résoudre les problèmes commerciaux sans risque inutile» et non «voici toutes les choses que vous ne pouvez pas faire».Sinon, la "nécessité commerciale" deviendra rapidement une clé principale pour contourner les politiques de sécurité.
Buff Markalo, hein.
grochmal
2016-10-18 05:28:29 UTC
view on stackexchange narkive permalink

Je vais faire un petit détour et répondre à la question implicite dans cette partie:

mais ils s'en moquent tout simplement

La réponse de @ shroeder déjà couvre le point de départ qui est d'avoir la direction de votre côté. Et apprendre aux gens à se sécuriser est une très bonne idée de la façon de pratiquer l'endoctrinement, mais je vais le prolonger. Demandons-nous comment vous pouvez motiver les employés de l'entreprise à être plus conscients de la sécurité.

En général, en ce qui concerne l'évolution des habitudes de travail, vous rencontrerez trois types de personnes. En offrant des incitations à chaque type, vous augmenterez vos chances de réussite de la mise en œuvre d'une culture de la sécurité. Vous pouvez rencontrer:

  1. L'homme de carrière : le plus souvent représenté par des cadres intermédiaires ou des chefs de projet. Leur objectif est de documenter leurs capacités, et vous explorerez cela. Fournissez-leur une formation à la sécurité lors de sessions officielles avec des certificats de réussite.

    Un certificat ne signifie pas grand-chose en termes de connaissances réelles, mais vous pouvez effectuer un examen pour délivrer les certificats. Vous pouvez les faire étudier, par eux-mêmes.

  2. Le geek : Personnel technique, personnel d'exploitation (selon l'entreprise), et souvent d'autres membres du personnel qui essaient peut-être de faire évoluer leur carrière. Leur objectif est la curiosité. Pour un geek, vous pouvez montrer un exemple de débogage d'un logiciel malveillant ou expliquer un débordement de tampon et à partir de là étendre les politiques que vous souhaitez mettre en œuvre. Donnez-leur des faits curieux, puis associez-les à plusieurs reprises à la sécurité de l'entreprise.

  3. Le drone : certaines personnes ne veulent tout simplement pas changer. Ils veulent simplement qu'on leur dise tous les détails de ce qu'ils doivent faire et ne jamais faire plus que cela. Ils peuvent être trouvés à chaque endroit et à chaque niveau au sein d'une entreprise. Et il n'y a pas de règle magique ici, vous devez leur faire subir des conséquences s'ils ne respectent pas les politiques. Souvent, vous devez appliquer ces conséquences sans pitié pour vous assurer que d'autres drones s'y adaptent.

gWaldo
2016-10-18 18:02:17 UTC
view on stackexchange narkive permalink

C'est une situation difficile à résoudre si vous êtes déjà configuré pour avoir une relation antagoniste avec les autres départements.

Il y aura tout un fouillis d'hypothèses dans cette réponse. Ce ne sont que quelques pensées basées sur mes propres expériences. YMMV.

Il est difficile de conduire un changement culturel, et le plus souvent, vous devrez changer plusieurs groupes pour vous soucier de la sécurité différemment:

  • Service de la sécurité:
    • Il faudra que la sécurité se moque moins de la sécurité pour la sécurité.
    • Des discussions informées sur les «risques acceptables» peuvent avoir lieu. Il y aura des moments où le produit aura la priorité.
    • Arrêtez de présenter une culture du «non».
    • Facilitez les tests de conformité de sécurité «de base». (Incorporer les tests de sécurité dans les pipelines CI / CD, par exemple.)
  • Équipes de développement:
    • Vous devrez convaincre d'autres équipes d'envisager une amélioration de la sécurité. avant, en tant que caractéristique principale du produit.
    • Cela devra être une considération continue; du temps doit être alloué à l'avance sur une base récurrente (sprint, semaine, mois, etc.) pour évaluer les versions de plate-forme / framework / plugin pour les correctifs de sécurité. Faites-en un laps de temps relativement court, mais assurez-vous que, disons 4 heures-personnes, chaque sprint est pré-alloué pour l'hygiène.
  • Systèmes / Opérations
    • Rappelez-leur que vous êtes là pour les aider. (Stick and Carrot ne fonctionne pas si vous n'avez pas de carotte.)
    • Travaillez avec les systèmes / opérations pour automatiser les correctifs de sécurité et les rapports de conformité.
    • Cela prend du temps, alors faites de votre mieux pour ne pas les surprendre avec un avertissement sans avertissement si possible. Les équipes Sys / Ops n’apprécient pas de se faire jeter sous un bus lorsque, par exemple, un rapport d’examen de la sécurité est remis à la direction.
    • Aidez-les à intégrer les tests de sécurité à la surveillance opérationnelle
    • Par exemple, ils peuvent avoir un moniteur https qui s'éteint avant l'expiration du certificat, mais ils sont moins susceptibles d'en avoir un pour les chiffrements faibles.

Enfin, il y a beaucoup d'informations à tirer de la conférence DevOpsDaysMSP 2014 de Ben Hughes "Handmade Security at Etsy", où il aborde ce sujet même.

undo
2016-10-18 19:41:22 UTC
view on stackexchange narkive permalink

D'accord, vous ne devriez essayer ceci que si RIEN D'AUTRE NE FONCTIONNE. Vous avez été averti.
Voici le problème, les humains ne réaliseront souvent pas l'importance de quelque chose tant qu'ils ne le perdront pas de la même manière que les gens ne commencent pas à effectuer des sauvegardes de données tant qu'ils n'ont pas perdu quelque chose d'important en raison d'une panne matérielle.

Leur montrer le nombre d'attaques que vous avez évitées n'aidera pas. Ils seraient encore plus sûrs que vous pouvez résister à n'importe quelle attaque. Ce dont vous avez besoin est une attaque réussie. Ou du moins, donnez-lui l'impression que l'un d'entre eux a réussi.

Alors ... En vacances ou quelque chose du genre, faites comme si votre réseau était ciblé et compromis. Rendez-le convaincant . Mettez les lecteurs réseau hors ligne pendant une heure ou deux. Et puis dites que vous avez réussi à tout récupérer, mais que l'attaque a été causée parce que quelqu'un a laissé traîner des informations d'identification confidentielles importantes ou son compte connecté sur un PC public. Si cela ne fonctionne pas, rien d'autre ne fonctionnera . J'ai déjà fait ça à mon équipe et croyez-moi, ils ont perdu toute leur insouciance. Le choc d'avoir peut-être perdu le projet sur lequel ils travaillaient depuis des mois les a rendus vraiment sérieux au sujet de la sécurité.

Cependant, il y a quelques points à garder à l'esprit:

  • Votre chef / vos seniors devraient être au courant de cette attaque par étapes. Dites-leur que c'est la seule façon de protéger l'organisation d'une attaque sérieuse plus tard dans le futur. MAIS DITES-LEUR . Vous ne voulez vraiment pas être licencié parce que vous avez essayé d'enseigner à quelqu'un l'importance de faire attention à ses mots de passe.

  • Vos collègues pourraient ne pas réagir enfin s'ils se rendent compte que tout l'incident a été mis en scène. Veuillez réfléchir avant de leur divulguer cela. Mon équipe a compris pourquoi j'ai fait cela. Ce n'est peut-être pas le cas pour vous.

VEUILLEZ PENSER BEAUCOUP AVANT D'ALLER DE L'AVANT.

Quand ils découvriront que c'était un faux, vous perdrez toute confiance qu'ils auraient pu avoir en vous.Il y a toujours autre chose à essayer.
C'est une mauvaise idée.Si vous devez menacer et mentir à votre personnel pour les amener à suivre les politiques de l'entreprise, votre entreprise a de graves problèmes de gestion qui doivent être résolus avant de se soucier d'InfoSec.
@whitehat101 Assez juste ...
@Schroeder Peut-être que renoncer à l'amitié / confiance est un compromis approprié en échange d'un environnement sécurisé si vous allez traiter des informations très sensibles?IDK, c'est au PO de décider.Je pense avoir inclus suffisamment d'avertissements?De plus, l'OP n'a pas * besoin * de leur dire ... Parfois, vous avez besoin de mentir pour faire avancer les choses.C'est comme ça.
Il ne s'agit pas d'amitié, mais de pouvoir communiquer à tout moment dans le futur avec vos collègues.Sans confiance, vous pouvez oublier la création de tout type de culture ou la conduite de votre organisation vers un environnement plus sécurisé.
Bien que je sois fermement convaincu que la confiance est la valeur ultime d'une communication sûre (en particulier dans une société interconnectée), je vois que cela peut fonctionner si elle est faite à une plus petite échelle.Ce que je veux dire, c'est que ne pas faire perdre du travail aux gens, vous pouvez accidentellement compromettre le réseau dans un moment très critique pour certains (et vous pouvez garder la conscience que quelqu'un a été licencié parce qu'il n'a pas livré quelque chose à temps).Au lieu de cela, contourner cela comme une farce amicale.Infectez les machines et dites un jour à vos collègues: voulez-vous me voir éteindre tous vos appareils personnels maintenant?
@schroeder - Vous pouvez communiquer cela comme un "exercice" au lieu d'un "faux" et il n'y a pas de perte de confiance.Analogie: je m'attends à ce que votre bureau fasse des exercices d'incendie périodiques - mais vous n'avez pas perdu confiance en votre gardien des incendies à cause de ces «faux».
@paj28 c'est ... une très bonne idée
Stephan Branczyk
2016-10-21 07:51:41 UTC
view on stackexchange narkive permalink

Le problème que vous décrivez s'applique également aux chiens renifleurs de drogues et de bombes.

Peu importe à quel point vous leur criez dessus et les menacez, les chiens renifleurs de drogue et de bombe peuvent perdre tout intérêt très rapidement s'ils ne trouvent pas ce qu'ils recherchent malgré tout le travail qu'ils font.

C'est pourquoi le dresseur doit constamment cacher de faux médicaments ou de fausses bombes pour garder le chien engagé dans son activité. Et oui, le dresseur utilisera des friandises au départ, pour s'associer à la recherche de quelque chose et pour renforcer la récompense, mais ce qui maintient finalement le chien engagé est l'élément de jeu et l'idée que le chien cherche quelque chose qui est très susceptible d'être trouvé (même si l'objet trouvé doit être truqué la plupart du temps pour garder le chien intéressé).

C'est pourquoi votre entreprise doit mettre en place un programme régulier de tests d'intrusion et d'attaques d'ingénierie sociale, puis revoir régulièrement ses résultats avec toutes les personnes impliquées. Il n'y a vraiment pas de substitut à ce genre de chose.

Le fait est que vos serveurs sont peut-être constamment martelés par des scanners de ports, mais cela n'a pas d'importance pour vos cadres ou vos réceptionnistes. Ce qu'ils ont besoin de voir, ce sont les attaques réelles qui les affectent, ou auxquelles ils n'ont pas pensé, et la meilleure façon de le faire est de tenter ces attaques contre eux dans l'environnement auquel ils sont habitués.

Cela allège également le fardeau de la maladresse sociale lors de la confrontation ou du blocage de quelqu'un d'une autorité perçue supérieure ou égale. Sur mon lieu de travail, nous avions une politique stricte de ne laisser personne que nous ne connaissions pas nous suivre à travers la porte après avoir utilisé notre carte RFID pour entrer. Mais bien sûr, les stagiaires du collège et les concierges de nuit ne demanderaient jamais les informations d'identification de quelqu'un qui semble vouloir y travailler. Pour qu'ils fassent quelque chose comme ça, ils devaient penser qu'il y avait une chance raisonnable que ce soit un test ou un exercice, car la probabilité réelle que ce soit un méchant / fille était en fait très faible comparativement.

Et s'il vous plaît, ne pensez pas que je blâme simplement les concierges et les stagiaires, ils ne sont pas les seuls à ne pas respecter le protocole simplement parce qu'ils sont trop gentils ou parce qu'ils y vont le plus des solutions pratiques. Les employés, les cadres et bien d'autres feront la même chose.

Overmind
2016-10-19 11:27:36 UTC
view on stackexchange narkive permalink

Le plus gros problème de sécurité est en fait le pool d'utilisateurs.

Aucune sécurité ne peut vaincre la stupidité des utilisateurs (comme cliquer sur un script reçu par un e-mail aléatoire).

Ce que vous à faire:

  • présenter les risques à la direction

  • présenter des exemples de mauvaises choses qui se sont produites

  • présenter un plan de contre-mesures (technique)

  • demander d'avoir des règles obligatoires pour tout le monde et appliquer votre politique de sécurité (créez-en une si vous n'avez pas déjà)

  • demander la création d'un système de pénalités pour ceux qui enfreignent les règles plusieurs fois

  • organiser la direction formation avec les utilisateurs - c'est le plus important - la formation doit contenir tout, des problèmes de sécurité plus complexes qui peuvent être évités par la conformité des utilisateurs à une simple liste de choses à ne pas faire (c'est-à-dire ne pas cliquer sur les liens dans les e-mails)

Bien que la technologie ne puisse pas vaincre toute la sécurité des utilisateurs, elle peut en vaincre une grande partie, et il existe de nombreuses solutions au problème que vous mentionnez - filtrage de la passerelle de messagerie, configuration renforcée du client de messagerie, sandbox de bureau, etc.
Aucun filtre de messagerie de ce monde ne peut refuser un lien vers un site Web qui n'est pas encore au moins sur une liste noire quelque part.Et les anti-virus ne bloqueront pas ce qui ressemble à un formulaire d'envoi de courrier électronique légitime (ce qui est en fait, d'un point de vue technologique - ce sont les destinations et les taux d'utilisation qui font des dégâts).
Votre exemple était un script joint à un e-mail.Les passerelles de messagerie peuvent filtrer sur le type de contenu, bloquant tous les scripts.Liens vers des sites Web malveillants: vous pouvez configurer le client de messagerie pour qu'il n'affiche pas les liens.Mais peut-être que vous les voulez.Le sandboxing de bureau comme Bromium exécute le navigateur dans une machine virtuelle jetable.Vraiment, il existe de bonnes solutions.Vous avez choisi quelques exemples qui ne sont pas à la hauteur de leur battage publicitaire.Mais de bonnes solutions existent en fait.
Non, le script sur le site Web de destination.L'e-mail ne contient que le lien vers cela, sur lequel l'utilisateur cowox clique et exécute le script, ce qui était mon point initial.Le sandboxing et une telle chose sont presque impossibles à mettre en œuvre en raison du même problème: les utilisateurs.Ils peuvent à peine composer des e-mails, comment voulez-vous qu'ils utilisent les VM?
De quel genre de scénario parlez-vous?Vous pouvez configurer les navigateurs / Windows afin que les utilisateurs ne puissent pas télécharger et exécuter des fichiers exécutables.Bromium effectue le sandbox de manière transparente, les utilisateurs ne le savent pas.Je ne suis pas impliqué avec eux, mais c'est cool.En outre, vous semblez avoir ignoré mon point de vue sur la configuration du client de messagerie pour ne pas afficher les liens, c'est une défense utile.
Ce n'est pas un .exe réel, juste un VB ou JS ou bien d'autres variantes.Il lit le mot de passe de l'utilisateur dans Outlook, puis envoie automatiquement les e-mails.Les antivirus ne détectent rien.Je ne peux pas ignorer le lien car il y a beaucoup d'e-mails officiels qui communiquent des liens vers des pages client, des configurations client ou des offres, donc je ne peux pas les nier.
La politique de restriction logicielle peut empêcher les utilisateurs d'exécuter vb / js.Si vous souhaitez plus d'informations, ouvrez une nouvelle question et informez-moi ici.
Je ne peux pas le faire non plus car les utilisateurs ont besoin de vb / js pour leur travail quotidien.Ils ont diverses applications qui utilisent vb et js.
Salut Overmind.J'ai déjà proposé d'expliquer tout cela plus en détail si vous posez une question distincte.L'offre tient toujours.
paj28
2016-10-20 13:28:04 UTC
view on stackexchange narkive permalink

Simplicité & Cohérence

Les politiques de sécurité doivent être faciles à suivre pour les utilisateurs. De nombreuses organisations ont des politiques qui ne reflètent pas la réalité, sont contradictoires et que les gens doivent rompre pour faire leur travail. La solution consiste à simplifier les politiques et à accepter les commentaires des utilisateurs.

L'application doit être cohérente. Si certaines personnes enfreignent les politiques et que rien ne se passe, cela en encourage d'autres. Utiliser la technologie pour appliquer les politiques autant que possible, en s'appuyant sur les utilisateurs individuels comme contrôle de sécurité devrait être un dernier recours. De plus, le meilleur moyen d'empêcher les gens de divulguer des informations est de ne pas les leur donner en premier lieu.

D'autres ont mentionné avoir besoin d'un «bâton» d'application pour les personnes qui ne se conforment pas. Je pense que c'est contre-productif et décourage les gens de parler ouvertement.

Classification

Vous devez déterminer quels éléments de votre opération sont critiques. Dans les affaires, tout est important dans une certaine mesure, mais certains bits sont "régulièrement importants" et d'autres sont "super critiques".

Les bits super critiques pour lesquels vous devez avoir des contrôles très puissants. Et les bits réguliers que vous avez des contrôles qui sont un équilibre entre la sécurité et la convivialité.

Je pense que beaucoup de problèmes dans la sécurité d'entreprise sont l'échec à faire cela. Le service de sécurité essaie d'amener toute l'entreprise à travailler au niveau "super critique" - ce qui n'est pas réaliste.

G.Sch.
2016-12-27 17:32:37 UTC
view on stackexchange narkive permalink

Montrez le POURQUOI

Il y a déjà de très bonnes réponses à cela, mais permettez-moi d'apporter ce petit détail:

Pour amener vos utilisateurs à vos côtés, montrez-leur POURQUOI toutes ces exigences de politique sont vitales!

Voici un exemple très basique: donnez-leur des exemples de la rapidité avec laquelle les mauvais mots de passe peuvent être exploités.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...