在很多国家, 10月是“网络安全月”,组织喜欢在这段时间安排他们的安全意识项目. 随着10月的临近, 重要的是要开始考虑安全意识培训以及如何最好地吸引员工. 用户应定期接受培训,提高他们的安全意识,以预防和发现网络攻击. 但是,持续改进(并将安全意识保持在较高水平)并不是一件容易的事情.
Typical elements of security awareness programs are trainings (now including more e-learning and fewer “classroom” presentations); posters, 卡片, advertisements and screensavers containing the most important rules and keywords of information security; gifts (notepads, 日历, 杯子, t恤, mousemats) containing security awareness messages; useful items like webcam covers, password generator 卡片 and secure credit card holders; and games (quizzes, 比赛). 这些东西很多都是有用的, 但是根据以往的经验和用户的反馈, 人们通常很快就会忘记其中的许多, 尤其是那些有时很无聊或包含不必要信息的, 比如“锁上你的电脑”这样的信息,“使用安全密码”和“使用碎纸机”.“员工喜欢积极参与安全意识项目,并回答一些主要问题:为什么它对我有好处? 我们为什么要有安全意识? 如果用户不遵守规则会发生什么?
当我执行社会工程审计和安全意识培训时, 我观察到,当演讲中有来自社会工程测试(甚至现实生活)的例子和照片时,培训会更有效。. 无聊的课堂培训参与者在看到他们工作场所的审计照片时变得警觉起来——许多人在看到熟悉的桌子或场景时感到好奇. 然后他们成为积极的参与者并分享他们的经验. 这些经验让创建一个新的元素的安全意识程序:安全意识密室.
安全意识逃生室采用游戏化的方式测试用户的安全意识水平,以“体验学习”的方式提高用户的信息安全知识水平.“这个项目鼓励团队合作. 在游戏中,玩家可以是攻击者或虚构员工的同事. 参与者在一个开放的办公室工作,他们的目标是阅读一个秘密文件的内容,以“逃离房间”.“他们只能利用目标人员的安全意识错误,不应该使用任何黑客手段.
演习包括以下保安范畴:
- 物理安全,徽章,临近卡和钥匙使用(如.g.把钥匙留在花盆里)
- 清洁办公桌和屏幕政策(e).g.(桌子上的重要文件)
- 安全使用移动设备(例如.g.(没有肯辛顿锁的笔记本或包里没有安全保护的数据旅行者)
- 安全的密码和个人识别码(例如.g., 甚至可以在Facebook上找到简单的PIN码, 比如生日或者鼠标垫下有用的密码提醒)
- 安全的应用程序和应用程序使用(例如.g., 手机上的健身应用程序或游戏可以帮助收集有关目标的有用信息)
- 加密设备和加密方法(这有时可能是玩家的新功能,因为他们不知道在他们的工作场所接受的加密方法)
- Information sharing and social media usage (it is very important to train users to avoid public sharing on Facebook and other social media sites; during the game players can see how easy is to gather information about the target)
- 安全打印和扫描(e).g.(如纸张落在扫描仪上或文件落在打印机上)
- 安全粉碎文档(安全文档不仅对攻击者有用), 但垃圾中的笔记或其他内部信息也可能很有趣)
- 恶意软件和网络钓鱼的攻击方法(在某些版本的游戏), 玩家也应该注意安全,因为他们可以在目标邮箱中打开容易被感染的文件或恶意网站。
如果你想做一个类似的游戏, 你只需要一个地方作为“假”办公室(一个免费的会议室), 一个闲置的办公室,甚至是一个走廊), 一张办公桌, 一把椅子, 五斗橱, 垃圾桶, 互联网接入和电力. 如果这些都是可用的,你就可以定义游戏的故事和任务.
编者按: 要进一步了解这个主题,请阅读Eszter Diána Oroszi最近在《澳门赌场官方软件》上发表的文章, 《利用游戏化提高用户安全意识:安全意识密室,” ISACA学报,第4卷,2020.
