开发安全意识计划的好处

为您的安全意识计划创建一个强大的度量框架可以帮助公司衡量整体影响，并向公司领导层展示价值，如果它与公司的战略重点保持一致的话。

定义安全意识

安全意识计划是管理组织的人为风险的结构化方法。您可以通过使用安全意识成熟度模型。本文假设有一个成熟的程序(至少是成熟度模型的第三阶段)，并且与安全团队积极合作，或者是安全团队的一部分。成熟的意识项目通过按顺序回答三个关键问题来管理人类风险。

1. 人类的风险我最大的人类风险是什么?所有的人为风险都无法管理，这意味着公司必须识别并优先考虑最重要的人为风险。这应该是一个数据驱动的过程，与安全领域的关键团队(如事件响应、安全运营、网络威胁情报或风险管理团队)合作。
2. 行为最有效地管理这些风险的关键行为是什么?再一次，我们需要对行为进行优先排序，我们关注的行为越少，人们就越有可能改变这些行为，对组织的成本也越低。
3. 改变我们如何激励并使人们改变这些行为?

随着时间的推移，技术、威胁和业务需求会发生变化。因此，组织的人为风险，在安全团队的协调下，应该至少每年审查和更新一次。

分析测量

一旦公司从这个角度看待安全意识和管理人类风险，就更容易确定公司应该关注哪些指标。公司应该事先决定的一件事是，他们是想按个人还是按角色、部门或业务单位衡量和跟踪员工的行为。如果是在个人层面进行跟踪，一定要采取措施保护每个人的信息和隐私。根据组织的规模和收集的数据量，公司还可能需要与组织中专门从事数据分析/商业智能的人员合作，以帮助规范化/分析发现。

网络钓鱼

在全球范围内，网络钓鱼一直是造成数据泄露的头号原因(2021年Verizon DBIR报告—p15)。无论我们在这个问题上投入多少技术控制，网络攻击者都只是适应并绕过它们。因此，我们需要教人们如何识别和报告这些攻击。那么，我们测量什么呢?在人们接受培训之后，测量他们对网络钓鱼攻击的易感性。在我们的最高人类风险中，这是最容易衡量的，为什么它是如此普遍的衡量标准。

1. 点击率:衡量组织的整体点击率。当你第一次开展网络钓鱼培训时，这个数字会迅速下降，对于更基本的网络钓鱼模板，点击率可能从20%下降到不到2%。一旦你的点击率达到2%到3%，你可能需要开始使用更困难/更有针对性的网络钓鱼模板。大多数网络钓鱼供应商都支持分层方法，使您能够使用不同类别的网络钓鱼难度。记住,我们的目标不是0%的点击率，因为一旦你使用初级水平的网络钓鱼诱饵的点击率达到2%或更低，首次点击者主要是新员工，这是对他们的培训活动。
2. 重复点击率对于许多组织来说，这是他们最有价值的网络钓鱼指标，因为它衡量的是重复点击者——那些没有改变行为的人，对组织来说是一个更大的风险。
3. 报告率如果您正在培训员工并使其能够报告可疑的网络钓鱼邮件，这有助于建立一个人力传感器网络。对此，报告的人数并不是关键，关键在于安全团队获得第一批报告的速度有多快。人们越早报告可疑事件，安全团队就能越快地响应和管理潜在事件。报告的人员代表了最具弹性的员工队伍，因为他们不仅识别攻击，而且使安全团队能够更主动地响应并保护整个组织。

密码

多年来，密码仍然是数据泄露的主要原因。网络攻击者已经改变了他们的战术、技术和程序(TTPs)，从通过不断入侵和感染系统来获取访问权限或横向移动，转变为使用合法账户更容易地绕过受害者组织，同时避免被发现。因此，强密码和安全使用这些密码已成为关键。

1. 强密码确保人们适应并使用强密码。长度是新的熵;现在非常鼓励使用密码短语。这可以通过对密码数据库运行暴力破解解决方案来测试。
2. 采用密码管理器我们在很多方面都用各种各样的规则和政策让密码变得困难、混乱，甚至让人们感到害怕。因此，组织开始采用密码管理器，使其员工的密码更简单。如果组织已经部署了密码管理器，请度量密码管理器的采用率和使用率。使用密码管理器的员工比例是多少?公司应该能够从任何正在部署/管理密码管理器的部门提取这些数据。
3. 采用多因素身份验证(MFA)MFA对于关键或敏感的帐户尤其重要。同样，这些信息应该可以由负责部署MFA解决方案、负责身份验证系统的日志记录、领导身份和访问管理或部分操作或安全的人员访问。
4. 密码重用/密码共享人们是否在不同的工作帐户中重复使用相同的密码(或者更糟糕的是，重复使用工作帐户和个人帐户)?还是说人们会和同事分享自己的密码?虽然这种行为听起来很难衡量，但您可以通过安全行为/文化调查有效地衡量这两种行为。关键是使用科学的方法来编写和衡量调查结果。例如，衡量密码共享的一种方法是问员工:在1到5分的范围内，你的同事有多大可能与同事分享自己的密码。

更新

我们希望确保人们正在使用的电脑和设备，以及安装在上面的应用程序和应用程序都是最新的。对于一些组织来说，这不是一个问题，因为人们没有管理权限或控制工作发布的设备，相反，他们的设备由IT主动修补。然而，对于许多组织来说，这是一个问题，因为很多人现在在家远程工作，并且经常使用个人设备或家庭网络进行工作访问。有几种方法可以衡量这一点。

1. 对于组织出现问题的任何设备，操作、IT甚至漏洞管理团队都应该能够远程跟踪这些设备的更新状态。在某些情况下，可以在个人设备上安装移动设备管理(MDM)等解决方案，这些解决方案也可以跟踪更新状态。
2. 学习管理系统(LMS)或网络钓鱼平台可能能够自动跟踪连接到它们的任何设备的设备、操作系统和浏览器版本。
3. 评估和调查您的员工，以确定他们是否理解更新的重要性，并积极更新他们的个人设备，包括启用自动更新。

需要考虑的战略指标

一旦你开始收集人们行为的指标，你就可以使用这些数据来更好地理解和管理你的整体人类风险。三个主要用途包括:

1. 确定哪些区域、部门或业务单位的安全行为最少，并对组织构成最大的风险。
2. 确定哪些地区、部门或业务单位最成功地改变了行为，并说明原因。将经验教训应用到不太安全的部门或地区。
3. 当事故发生时，要了解那个人是否受过培训。他们所在的部门是最安全的还是最不安全的部门或业务单位之一?

您还可以通过将行为与领导真正关心的事情结合起来，向领导展示您的项目的战略价值。

1. 事故数量随着人们行为的改变，事件的总体数量应该会下降，例如由于人们成为网络钓鱼攻击的受害者而感染设备的数量或由于错误密码而接管帐户的数量。
2. 攻击者停留时间:在你的组织中发现一个成功的网络攻击者所花费的时间应该随着你开发一个人体传感器网络而减少。攻击者在您的网络上停留的时间越短(停留时间)，他们造成的损害就越小。
3. 事故费用通过减少事件数量和成功攻击者的停留时间，我们可以降低总体成本。
4. 政策和审计违规随着行为的改变，我们应该看到政策和审计违规的数量(或严重程度)有所减少。

总结

这个列表既不详尽也不完美，但它是一个起点。你还可以衡量大量其他指标，以及这些指标的数据来源。关键不在于衡量一切;公司最好衡量一下最有用的指标。要做到这一点，公司首先需要知道人类面临的最大风险是什么，以及管理这些风险的行为。

-这最初出现在SANS研究院的网站。SANS研究所是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。