web-dev-qa-db-fra.com

Quels sujets doit contenir une formation à la sécurité pour les non-informaticiens?

(Je ne suis pas sûr, si cette question correspond au security.stackexchange-board, mais la liste des sujets demandables n'exclut pas cette question à mon humble avis et il y en a exemples )

J'ai travaillé pour plusieurs sociétés différentes dont certaines avaient externalisé leur service informatique. Cela signifie que les employés de l'entreprise utilisent principalement la technologie, mais ne la comprennent pas plus profondément, en particulier en matière de sécurité.

Par conséquent, je jouais avec l'idée d'offrir 1 ou 2 petits ateliers/formations, afin qu'ils puissent avoir au moins une idée de POURQUOI la sécurité informatique est importante et CE QUI est exactement important. Je voudrais le faire parce que je pense que les connaissances humaines devraient être partagées, peu importe le destinataire et les deux parties pourraient apprendre. Mes collègues pourraient mieux comprendre la sécurité et je pourrais mieux comprendre leur point de vue.

Je me suis donc assis et j'ai essayé de proposer une liste de sujets nécessaires et utiles, en gardant à l'esprit le public cible.

Suis-je absent des sujets, devrait-il y en avoir d'autres? Que faut-il apprendre quand on traite de sécurité informatique?

Sujets:

  1. Pourquoi la sécurité informatique? (Coûts, Ransomware arrêtant une entreprise complète, ...)
  2. Mots de passe (Qu'est-ce qu'un bon mot de passe, comment stocker, ne jamais utiliser le même PW sur différents comptes, ...)
  3. Verrouillez l'écran lorsque vous quittez le lieu de travail (Parce que ...? Vous n'avez pas trouvé de bons exemples de ce qui pourrait arriver, est-ce également une priorité élevée?)
  4. Dois-je montrer un exemple de piratage pour visualiser ce que c'est? Par exemple, les téléphones/tablettes plus anciens peuvent être fissurés assez rapidement avec un logiciel open source.
  5. Social Engineering (2 collègues ont reçu un appel et ont été victimes de CLSID-Scam , glissement de porte, clés USB dans le parking, ...)
  6. Sécurité Internet (NoScript, désactivez Flash/JS, qu'est-ce que le phishing, ...)
  7. Sauvegardes
  8. Cryptage des e-mails
  9. Mesures de protection (garder le système d'exploitation à jour, utiliser un logiciel antivirus, ne pas utiliser le compte administrateur par défaut, ...)

Je ne sais pas quels sujets devraient être obligatoires et dans quel ordre. La formation peut prendre 1 ou même 2 heures. Je voudrais également créer des feuilles de triche, afin qu'ils puissent emporter des informations écrites, des lectures supplémentaires, etc.

68
hamena314

En fait, j'ai fait une présentation similaire à celle-ci il y a un peu plus d'un an et j'ai passé pas mal de temps à décider comment le structurer. Mon public cible incluait des développeurs et d'autres personnes assez informées en informatique, mais aussi des managers et d'autres non-programmeurs, j'ai donc essayé de le garder assez général, et pas techniquement compliqué. Comme quelqu'un l'a souligné, je pense qu'une chose importante est de ne pas paraître ennuyeux; vous voulez que ce soit un discours instructif qui aide les gens à réaliser que c'est quelque chose qu'ils doivent garder à l'esprit, et pas seulement une autre liste de tâches lugubres qui entraveront le travail réel.

À cette fin, j'ai essayé de centrer toute la présentation autour du concept de culture de sécurité au lieu de sauter directement dans trop de détails techniques. Dans cet esprit, j'ai quand même réussi à aborder bon nombre des thèmes que vous mentionnez dans votre question.

Certaines des choses que j'ai mentionnées dans mon discours

(ou j'aborderais aujourd'hui si je tenais une autre conférence similaire):

  • Confidentialité, intégrité et disponibilité (CIA): les thèmes centraux de la sécurité de l'information, et quelques mots qui devraient être évidents pour expliquer pourquoi ils sont importants à la fois pour votre entreprise et pour les individus (si vous pouvez donner aux gens un petit conseil qui vous aidera ils restent également plus en sécurité au-delà du lieu de travail, alors ce n'est qu'un avantage, non? Cela pourrait également faire en sorte que certains accordent plus d'attention à vous - surtout si vous touchez à la sécurité de leurs enfants/famille aussi).
  • Quelques mots sur le concept de "culture de sécurité" ("culture" comme dans " un ensemble d'idées, d'habitudes et de normes sociales, commun à un groupe spécifique de personnes", ou quelque chose comme ça , et l'idée que la sensibilisation à la sécurité devrait en faire partie consciente ).
  • Objectifs de la réflexion sur la sécurité: réduire le risque d'incidents indésirables, se préparer à les gérer si/quand ils se produisent de toute façon.
  • Garder à l'esprit les coûts (ou retour sur investissement si vous le souhaitez); réfléchir aux mesures qui seront les plus faciles à démarrer et lesquelles sont les plus pertinentes. J'inclurais ici quelques mots sur les bonnes habitudes; des choses comme mettez à jour vos systèmes, utilisez de bons mots de passe et évitez de cliquer sur des liens suspects, soyez conscient de la sécurité physique (tailgaters!) etc. Incluez peut-être quelques exemples d'événements réels, y compris l'écran plans d'articles de presse sur les violations, etc.?
  • Posez quelques questions sur le type de vulnérabilités ou de menaces qui pourraient être pertinentes pour votre entreprise en particulier, et plus encore. Exemples: Quels sont les "joyaux de la couronne" de notre entreprise? Qu'est-ce qui est le plus important pour nous et qu'est-ce qui peut les menacer? Dans quelle mesure sommes-nous sûrs aujourd'hui, dans quelle mesure aimerions-nous l'être et comment y arriver à l'avenir? Dans quels domaines voudrions-nous améliorer notre position en matière de sécurité? Le but ici n'est pas de donner aux gens une liste de contrôle des choses à faire, mais de les amener à réfléchir à tout le domaine de la sécurité en général, et à prendre des responsabilités pour certaines parties, eux-mêmes.
  • Donnez quelques exemples de directives de sécurité typiques et demandez à votre public si l'une d'entre elles (ou similaire) doit être prise en compte pour votre lieu de travail.

Oh, et encore une chose: Y compris quelques-uns appropriés exemples réels de problèmes de sécurité aidera à divertir votre public (mais n'en faites pas trop).

Je ne sais pas si c'est exactement ce que vous recherchiez, mais j'espère que cela pourra vous être utile. Bonne chance avec votre présentation.

42
Kjartan

Aucune des réponses existantes ne mentionne cela et c'est trop long pour un commentaire même si ce n'est pas une réponse complète.

Une chose que vous absolument devez éviter d'engendrer dans votre public est le nihilisme (c'est-à-dire que je serai piraté quoi que je fasse). Il est assez facile de faire peur aux gens @ @ $ de moins (et de manière tentante et divertissante selon les circonstances). Mais une grande partie de la vente de la culture de sécurité, comme vous le dites, convaincra le public qu'une amélioration significative de la sécurité est à la fois a) pas trop douloureuse et b) possible.

Trop souvent, l'attitude que je rencontre en particulier parmi les milléniaux est que la sécurité est impossible, ou si possible alors si difficile qu'elle est impraticable. Enfer, je sais mieux et je me sens toujours ainsi parfois.

Je recommande que chaque exemple du monde réel (que ce soit une histoire ou une démo en direct) soit présenté avec quelques étapes faciles (de préférence 'étape' au singulier) pour éviter le même sort.

16
Jared Smith

C'est tellement irréel pour eux
que la seule façon de le faire coller
est en les montrant par des exemples réels.

Demandez-leur: qui sait ce qu'est le phishing?
Demandez-leur: quel type d'information divulgué serait problématique?
Ils disent: Si le document ThisIsImportant.doc avec des informations comptables sur le client C serait divulgué.
Demandez-leur: Qui a accès à ThisIsImportant.doc?
Ils disent: Patrick

Dites-leur ensuite: SO, laisse tous ensemble envoyer un e-mail de phishing à Patrick se faisant passer pour le patron de Patrick!

Ouvrez le terminal (avec une police verte, important!) Devant leurs yeux.
LIVE "Hacking"! Ils adorent ça!

1) ssh dans le serveur de messagerie
2) touch mail.txt
3) vim mail.txt

To: [email protected]
Subject: Patrick, I need customer C info.
From: Patricks Boss<[email protected]>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!

4) :x!
5) sendmail -vt < mail.txt

Maintenant, demandez à Patrick d'ouvrir son e-mail et tout le monde verra un e-mail Patricks Boss que vous avez écrit devant leurs yeux .

Leçon apprise pour eux:
Ils ne doivent pas suivre aveuglément un Nom/Marque/Uniforme/etc. et utiliser le bon sens.

Après cela, vous pouvez leur dire toutes les autres choses parce que maintenant ils vous croient à quel point c'est réel.

Un an plus tard, cependant, ils raconteront toujours comment vous avez "piraté" la fête en usurpant l'identité de son patron.

5
MPS

D'une part, vous dites que vous souhaitez organiser des ateliers tandis que d'autre part, vous plongez dans certains sujets assez difficiles avec des personnes qui ont une connaissance limitée de la sécurité. Pendant que j'applaudis vos efforts, si c'était moi, je chercherais à sensibiliser et amener les gens à penser à la sécurité plutôt que de simplement présenter Death-by-PowerPoint/quelque chose qui apparaît comme un autre tick-the- encadrer l'exercice de conformité de la formation obligatoire.

Je ne dis pas que vous ne devriez pas parler de toutes les choses que vous avez énumérées, mais si vous passez une journée uniquement sur celles-ci, vous allez ennuyer votre public. OTOH si vous pouvez gagner leurs cœurs et leurs esprits, alors ils vont penser à la sécurité dans leur travail quotidien.

Explorer comment ils pourraient être attaqués en tant que particuliers est un moyen de résoudre ce problème. Une autre consiste à leur faire planifier une attaque contre une cible arbitraire.

3
symcbean

Montrez-leur un gestionnaire de mots de passe comme LastPass ou KeePass.

La plupart des gens que je connais ont une tonne d'identifiants d'utilisateur et de mots de passe. Pour se souvenir d'eux, ils font des choses comme utiliser tous les mêmes mots de passe, les écrire sur des notes autocollantes ou les stocker dans des documents texte non chiffrés.

Montrez-leur plutôt comment utiliser un gestionnaire de mots de passe. J'ai montré à quelques-uns de mes amis non informaticiens comment utiliser LastPass. Maintenant, ils utilisent une phrase de passe très forte pour accéder au gestionnaire de mots de passe et le laisser gérer toutes leurs connexions. Ils l'adorent!

2
Adam Dewing

D'une manière générale, plus vous pouvez soustraire des mesures de sécurité à l'utilisateur - mieux c'est!

Par exemple:

  • Le stockage des fichiers doit, si disponible, être effectué sur un serveur centralisé. En supposant que vous disposez de ressources ayant les compétences suffisantes pour configurer correctement, il est plus facile de maintenir des sauvegardes à l'échelle de l'entreprise effectuées par des personnes formées que d'enseigner à chaque employé comment faire des sauvegardes privées (et de les rappeler à le faire!)

  • Si votre environnement le prend en charge, utilisez les stratégies de gestion de domaine Windows/Active Directory le cas échéant (par exemple pour introduire des délais d'expiration d'écran avec déverrouillage par mot de passe uniquement, ou appliquer la longueur du mot de passe/le contenu des caractères ainsi que des changements périodiques de mot de passe).

Commentaires à vos suggestions:

1. Restez simple - sécurité informatique = protection des actifs de votre entreprise. L'information est un pouvoir et l'information peut même être de l'argent dans un sens plus direct (secrets commerciaux, etc.). Votre argument spécifique dépendra du type de travail effectué par votre entreprise et de la manière dont vous le stockez, mais l'essentiel devrait toujours être qu'un accès non autorisé à un système informatique peut causer de graves dommages à votre entreprise, soit par destruction, soit par vol (ou les deux). ).

2. Certainement faire cela, mais comme mentionné précédemment, utilisez des outils techniques pour appliquer autant de règles que possible afin de réduire la responsabilité de l'utilisateur final.

3. Absolument! Ce n'est pas un vecteur d'attaque très courant, mais c'est l'un des "correctifs" les plus simples. Par conséquent, il doit être mis en œuvre immédiatement. Affichez des rappels près des postes de travail ou aux sorties.

4. Évitez cela, sauf si vous pouvez trouver des exemples spécifiques auxquels vos employés peuvent se rapporter directement (parce que vous utilisez le même matériel/logiciel, ou quelque chose de similaire). Si vous suivez cette voie, KISS - ne vous perdez pas dans le jargon technique. Utilisez autant que possible des concepts généraux et des termes non techniques. Passez moins de temps à expliquer le problème et plus de temps à décrire le comportement correct de l'utilisateur.

5. Cela peut facilement être parmi les vecteurs d'attaque les plus dangereux et simultanément celui qui est le plus difficile à enseigner à vos employés. Gardez-le pour la fin - vous voulez que vos employés adoptent la "culture de la sécurité" avant de vous plonger dans ce sujet particulier. Plus ils connaissent et pensent déjà les procédures sûres et l'importance d'assurer une autorisation et des protocoles corrects, plus il sera facile de comprendre comment un tiers peut essayer de contourner ces barrières.

6. Certainement - utilisez des stratégies de groupe pour bloquer Flash, Active-X ou appliquer NoScript, etc., si possible! Encore une fois, plus vous pouvez ajouter ces atténuations sans que l'utilisateur n'ait à faire ou à gérer quoi que ce soit, mieux c'est.

9. Encore une fois, si vous pouvez le faire de manière centralisée, ce serait encore mieux. A en juger par votre question, il semble que ce ne soit pas le cas pour votre entreprise?

Quant à l'ordre - je recommanderais le même ordre que les problèmes pourraient survenir. C'est-à-dire:

user login (passwords, lockscreen) 
  --> program startup (viruses, backups) 
    --> program use (phishing, social engineering, "bad" downloads/attachments).
2
Vegard

Je pense que la réponse de kjartan est sur place, mais en termes plus généraux de formation à la sensibilisation à la sécurité, il n'y a que quelques éléments principaux

  1. Que protégez-vous? Informations, données et connaissances - les moteurs de tous les aspects de votre entreprise.
  2. Pourquoi doit-il être protégé? CIA + non-répudiation. Je pense qu'il est important d'expliquer pourquoi il est important que les utilisateurs ne partagent pas les informations d'identification.
  3. Comment les utilisateurs peuvent vous aider à le protéger. Simplement quelques règles de base pour ne pas cliquer sur les liens, donner des informations, récupérer des lecteurs flash et les brancher - les trucs de base.
  4. Exemples d'incidents qui se sont produits et le coût associé en argent et atteinte à la réputation.

Si vous devez aller plus loin, c'est une excellente idée d'expliquer quelles sont les politiques et procédures et pourquoi elles doivent être suivies. Mettez-le en termes simples pour les individus non informatiques et non professionnels. Et puis mettez-le en termes commerciaux pour le niveau supérieur d'employés et comment ce qui a été convenu a été considéré comme le bon niveau de sécurité et opérations commerciales (par exemple, pourquoi ces choses existent en plus d'être un simple obstacle qu’ils doivent surmonter pour faire simplement leur travail). Je pense que c'est la clé avec laquelle les utilisateurs réguliers ont du mal - " laissez-moi faire mon travail !"

1
Raystafarian