web-dev-qa-db-fra.com

La formation en sécurité d'entreprise doit-elle être adaptée en fonction du rôle professionnel des utilisateurs?

Je travaille dans l'équipe de sécurité de l'information sur mon lieu de travail. Nous travaillons dans le secteur de l'assurance et des soins de santé et travaillons fréquemment avec les données de carte de crédit des clients, financières et privées.

Aujourd'hui, je rencontrais la direction de la sécurité pour planifier le programme de formation annuel sur la sécurité de cette année. Nous envisageons de personnaliser les modules de formation pour les utilisateurs finaux en fonction de leur fonction. À titre d'exemples:

  • Modules de formation supplémentaires et personnalisés pour les utilisateurs privilégiés tels que les administrateurs de domaine
  • Un module de formation personnalisé pour les employés non informatiques travaillant dans des rôles orientés client
  • Un module de formation séparé pour les développeurs, peut-être avec un accent plus prononcé sur les vulnérabilités du codage défensif et du développement logiciel - par exemple: injection SQL

Étant donné que le risque de sécurité associé à un utilisateur de niveau administrateur de domaine informatique est évidemment très différent d'un employé non informatique, il semble raisonnable de personnaliser la formation en sécurité aux besoins spécifiques du type d'employé. Ce qui peut être important et pertinent pour un employé informatique peut ne pas l'être pour un représentant du service client travaillant dans un centre d'appels, il semble donc qu'une approche unique soit tout simplement inefficace.

Cependant, je peux également voir les inconvénients d'une approche personnalisée. Un utilisateur final pourrait peut-être expliquer que, parce qu'il ne lui a pas été fourni de module spécifique, ce module de formation n'est ni significatif ni important. En d'autres termes, il est possible d'encourager les employés utilisateurs finaux à être plus laxistes dans leurs habitudes de sécurité car ils n'associent que ce qu'ils considèrent comme important dans la formation. Nous voulons éviter cette perception.

La personnalisation de la formation en sécurité informatique d'entreprise basée sur les rôles professionnels et les différents risques inhérents associés à ces rôles est-elle une bonne pratique?

Quels sont les inconvénients possibles d'une telle approche personnalisée, autres que ceux décrits ci-dessus?

22
Anthony

Expert en sensibilisation à la sécurité ici (récompenses, livre le plus vendu).

Absolument, vous devriez/devez personnaliser la formation en fonction du rôle/des risques.

De nombreux organismes internationaux qualifient ce point d’important:

C'était exactement ce dont je me souvenais du haut de ma tête.

Mais vos questions à la fin semblent montrer un malentendu sur la façon dont les matériaux seraient créés.

Définir une norme de référence

Votre organisation doit définir une norme minimale de sensibilisation correspondant au profil de risque de votre organisation. Cela signifie que tout le monde obtient les mêmes fondements de base. En plus de cela est le matériel spécifique au rôle.

Même matériel, exemples spécifiques au rôle

Mais cela peut aller plus loin que cela pour être plus efficace. Je préconise de créer du matériel spécifique au rôle en utilisant le même matériel de base, mais que les exemples soient spécifiques au rôle. Ne montrez pas d'exemple RH au service d'expédition. Conservez les exemples spécifiques au rôle, si possible, mais recouvrez le même matériau afin que les fondations soient les mêmes. Cela permet de montrer pourquoi le matériel est important pour l'employé.

Former pour faire face aux risques

De plus, différents rôles dans votre organisation vont subir différents risques , et ces risques uniques doivent être traités lors de la formation. Les finances et les RH connaissent différents risques et ont besoin d'outils/procédures différents pour faire face à ces risques. Le service d'expédition va avoir un ensemble de risques complètement différent. La formation doit certainement être personnalisée en fonction des risques.

Oui, cela va sembler intimidant pour quiconque n'est pas un concepteur de programme de sensibilisation à la sécurité dédié. C'est beaucoup de travail. Et c'est pourquoi la plupart des organisations ne le font pas. Mais ils devraient.

Mode facile: Champions

Une façon de le rendre plus facile consiste à utiliser un programme "Champions" où des personnes sélectionnées dans chaque département/domaine de risque sont formées et soutenues pour aider à concevoir, livrer et être un point de contact pour le département/matériel spécifique au risque. Cela s'est avéré extrêmement efficace dans de nombreuses organisations. Vous devez ensuite prendre le matériel personnalisé qui a fait ses preuves et l'intégrer dans votre programme d'apprentissage pour le rendre plus cohérent et reproductible.

Prochaine étape: pas seulement spécifique au rôle mais spécifique au public

De plus, je préconise également d'avoir du matériel différent pour les différents groupes technologiques et démographiques de votre organisation. La formation "Comment repérer un hameçonnage" doit être différente pour les personnes qui n'ont jamais entendu parler du concept auparavant que pour les experts informatiques. Et le langage et les concepts utilisés doivent être compris par les différents groupes démographiques de votre organisation. Par exemple, demandez à différentes personnes si elles savent ce qu'est un "navigateur". Vous pourriez être choqué de voir qui n'a pas entendu parler du terme. Cela signifie que votre matériel "Comment repérer un hameçonnage" ne doit pas utiliser le terme ou former des gens dessus.

Matériaux gradués

Dans mes documents, je les gradue afin qu'il y ait un niveau croissant de compétences et de connaissances. Les gens débloquent les niveaux supérieurs lorsqu'ils se sont montrés compétents dans les niveaux inférieurs. Cela signifie que les experts informatiques ne doivent traiter le matériel de base qu'une seule fois, mais sont confrontés aux techniques inédites aux niveaux élevés. De nouvelles personnes peuvent grandir avec le matériau.

15
schroeder

L'idée de personnaliser la formation pour répondre aux besoins des utilisateurs est en fait une très bonne approche. Cependant, il devra y avoir certains ajouts à cette approche qui conviendront ensuite à tout le monde dans votre organisation.

Cela étant dit, il est très correct de dire que la formation requise pour un développeur d'applications ne sera pas la même que pour une personne RH.

Cependant, lorsque vous regardez la structure de l'ISO 27001, vous verrez qu'elle comporte de nombreux aspects qui seront applicables à tous les départements, tels que le contrôle d'accès, la gestion et la cession des actifs, la gestion des droits de propriété intellectuelle, les procédures de continuité des activités, les procédures d'emploi, les incidents. manipulation, directives d'utilisation acceptable, bureau clair et écran clair et bien plus encore. Vous verrez que chacun de ces éléments que j'ai énumérés ci-dessus sera applicable à tout le monde.

Votre approche de formation doit prendre tout cela en compte tout en rendant la formation spécifique au rôle. J'ai adopté une approche propre au ministère. Certains modules ont été exclusivement réservés à certains départements, tandis que la plupart des modules sont applicables à tous les départements. Votre programme de formation devrait énumérer tout cela.

Enfin, les sujets que vous communiquez à vos employés devraient en fait être dans les limites du système de gestion de la sécurité des informations (SMSI) de votre organisation. Donc, si vous avez un SMSI bien défini, parcourez toutes les politiques et procédures qui ont été définies pour votre organisation. Cela vous donnera un bon point de départ pour définir tous vos sujets.

22
Vikas

Il s'agit plus d'une communication question que d'une sécurité question, mais je dois reconnaître que le résultat a un fort impact sur les pratiques de sécurité mondiales. Ce qui importe ici, c'est que tous les employés puissent penser que leur activité est considérée comme importante et que leurs mauvaises pratiques auraient de graves conséquences.

Si vous le présentez de cette façon:

  • Les administrateurs informatiques suivront un module dédié à leur métier
  • Les développeurs informatiques suivront un module dédié à leur métier
  • les boursiers non IT suivront un module généraliste

Le risque est élevé que les non-informaticiens pensent que la sécurité n'est pas leur préoccupation.

Comme l'un de mes emplois précédents n'était pas axé sur l'informatique, je pense que les non-informaticiens pourraient se sentir plus concernés par les éléments suivants présentation:

  • un module généraliste pour tous afin que la base soit partagée entre tous les collaborateurs, quelle que soit leur activité spécifique
  • un module supplémentaire pour chaque groupe

Le contenu du module supplémentaire est trivial pour les groupes informatiques, les administrateurs et les développeurs.

Pour les non membres de l'informatique, vous devrez trouver des exemples liés à leur activité réelle. Les attaques sociales sont une préoccupation principale pour l'équipe financière, la confidentialité est une préoccupation principale pour les équipes de représentants du service client, etc. De cette façon, vous montrez à chaque groupe que vous avez pris en compte leur activité et que le manque de bonnes pratiques de sécurité dans leur activité aura de graves conséquences.

Le contenu réel ne sera pas très différent de la première approche, mais il pourrait être vu différemment.

2
Serge Ballesta