6 интересных идей для мероприятий в рамках Месяца осведомленности о кибербезопасности

Приближается октябрь. Хотя для многих американцев это означает, что они начинают думать о том, что надеть на Хэллоуин, октябрь также является национальным месяцем осведомленности о кибербезопасности.

Национальный месяц осведомленности о кибербезопасности, впервые отмеченный в 2014 году, дает возможность повысить осведомленность сотрудников, клиентов и широкой общественности о рисках кибербезопасности. Это включает в себя выделение их личной и коллективной роли в снижении таких рисков.

Месяц осведомленности о кибербезопасности сегодня актуален как никогда. Существует все более пугающий ландшафт угроз, включающий все, от фишинга и фарминга до программ-вымогателей и массовых DDoS. Что еще хуже, угрозы безопасности вышли за рамки только злонамеренных и финансовых намерений. Теперь они вступили в сферу геополитической войны, как показали президентские выборы в США в 2016 году.

Несмотря на очевидное обоснование, месяц осведомленности не окажет должного влияния на вашу организацию, если сотрудники не будут чувствовать себя должным образом вовлеченными. Отсюда потребность в увлекательных мероприятиях, в которые все активно вовлекаются. Вот несколько забавных вещей, которые вы могли бы сделать.

1. Вечер викторин

Насколько хорошо ваши сотрудники понимают кибербезопасность? Есть несколько способов передать такие знания. Вы можете сделать это с помощью формального занятия в классе. Но это может быть скучно и скучно. Другие методы также не работают. Например, многие люди не утруждают себя чтением электронных писем, периодически отправляемых им в рамках общей программы компании по обеспечению безопасности.

Вы можете привлечь больше участников, организовав веселые, соревновательные, но менее формальные викторины. Подумайте о вечере викторины, в котором разные отделы противостоят друг другу. Предложите награду команде, которая даст больше правильных ответов. Вы также можете получить индивидуальную награду за выдающиеся личные достижения.

Для достижения наилучших результатов делайте вопросы как можно более нетехническими, чтобы не давать неоправданного преимущества ИТ-персоналу.

2. Охота за документами

Трудно ошибиться с какой-либо формой поиска сокровищ. Как насчет того, чтобы в конце случайного дня поручить каждому отделу найти как можно больше конфиденциальных документов или разблокированных компьютеров в рабочем пространстве другого отдела. В конечном итоге побеждает отдел, в котором обнаружено наименьшее количество незащищенной информации.

Загвоздка здесь в том, что отделам, которые уже имеют сильную культуру хорошего управления документами и защиты информации, будет легче справиться с этой задачей.

В качестве альтернативы можно было бы спрятать один или несколько документов где-нибудь в помещении, а затем поручить сотрудникам искать документы. У них будет целый месяц, чтобы найти предметы. Те, кто найдут документы, получат вознаграждение.

3. Поддельная фишинговая атака

Создайте довольно убедительное фишинговое электронное письмо и отправьте его каждому сотруднику организации. Вы, вероятно, захотите сделать это поздно ночью, чтобы сотрудники нашли это, когда придут утром. Используйте внешний или поддельный адрес электронной почты, но сделайте его убедительным. Включите логотип компании, фирменные цвета, заявления об отказе от ответственности и настоящие имена руководителей высшего звена.

Он должен сделать срочный запрос конфиденциальной информации, которую получателя просят отправить как можно быстрее. Этот розыгрыш предназначен для того, чтобы увидеть, сколько сотрудников на самом деле ответит на электронное письмо с запрошенными данными.

На самом деле, любой ответ на почту, даже если не предоставлены запрошенные данные, следует считать неудачным. Часто похитители личных данных ищут имя реального сотрудника (которое может дать любой ответ), чтобы начать разговор.

Будет много хорошего смеха, когда сотрудники в конце концов обнаружат, что это была подделка, но здесь можно извлечь настоящие уроки социальной инженерии.

4. Геймификация

Геймификация может повлечь за собой значительный объем пользовательского программирования, если вы решите не приобретать готовое подходящее приложение. Тем не менее, это стоит затраченных усилий. Игра будет вознаграждать участников за активность, которая демонстрирует или повышает осведомленность. Чтобы быть эффективной, игра должна иметь четкие правила. Сотрудники должны четко видеть, как они могут участвовать, какие награды они получат, а также таблицу лидеров в реальном времени, которая показывает, кто набрал наибольшее количество очков.

Участники могли, например, заработать 20 баллов за прохождение викторины InfoSec и 50 баллов за выявление упущений в процедурах безопасности. В конце национального месяца осведомленности о кибербезопасности вы можете наградить лучших игроков выходным днем, семейным ужином или подарочной картой. Вся система должна быть максимально автоматизирована, чтобы завоевать доверие всех, кто принимает участие.

5. Максимально проводите время на свежем воздухе

Если вы действительно хотите заинтересовать людей творческими способностями, проведите хотя бы одно мероприятие на свежем воздухе в течение месяца осведомленности о кибербезопасности. Существует широкий спектр мероприятий по тимбилдингу на открытом воздухе, в которые вы можете встроить элементы кибербезопасности и заставить людей соревноваться друг с другом.

Преимущество развлечений на свежем воздухе заключается в том, что вам не нужно придумывать дорогие награды для отдельных лиц или команд-победителей. Во-первых, сотрудники будут рады быть вне офиса. Во-вторых, они будут рады надрать задницы своим коллегам просто ради развлечения.

Такая непринужденная обстановка довольно эффективна для передачи серьезных сообщений. Это избавляет сотрудников от отвлекающих факторов в офисе, позволяя им сосредоточиться только на одной теме в течение всего дня.

6. Награда за ошибки

Мы говорили о создании мероприятий, которые не являются слишком техническими, чтобы вы могли иметь равные условия игры. Тем не менее, ваш ИТ-отдел больше всего обременен обеспечением работы средств контроля кибербезопасности. Вы должны бросить гикам кость, если хотите, чтобы они чувствовали себя достаточно сложными, чтобы участвовать в месяце осведомленности о кибербезопасности.

Таким образом, для ваших более технически подкованных сотрудников вы можете организовать мероприятие по поиску ошибок. Дайте участникам целый месяц на поиск уязвимостей в системе.

Как и в случае любого теста на проникновение, убедитесь, что мероприятие по поиску ошибок проводится таким образом, чтобы не нарушать повседневную работу. Взлом может быть настолько эффективным, что разрушит производственную среду. Следовательно, разумно ограничить взлом днями с низким трафиком (например, воскресеньями для большинства предприятий). Более того, вы можете ограничить упражнение тестовой средой, которая является точным зеркалом производственных систем.

Поиск уязвимостей может быть напряженной и трудоемкой работой. Поэтому у вас должно быть заманчивое финансовое вознаграждение для тех, кто выявит наиболее существенные уязвимости.

Осведомленность о кибербезопасности: один месяц для более безопасного года

Месяц осведомленности о кибербезопасности — это, возможно, ваш лучший шанс привлечь высшее руководство к инициативе по повышению осведомленности в масштабах всей организации. Благодаря такому высокому уровню поддержки и тому, что вы сделаете деятельность увлекательной, у вас больше шансов привлечь сотрудников и, в конечном итоге, сделать предприятие лучшим местом для безопасности данных и систем.