答案1
我们曾经在内部网上发布过以下内容,友情提醒大家应定期更改密码。我确信这个方法很有效,因为在接下来的两周内,“我忘记了密码”这类帮助台电话的数量高于平均水平!
答案2
很难制定一个行之有效的计划。如果内容引人入胜,并有一些奖励(例如进行简单的测验并赠送一些有趣的东西),会有所帮助。如果组织中有影响力的领导者积极推动人们参与宣传活动,也会有所帮助。
微软有一个您可以下载的工具包其中有一些想法。Sophos发布了部分材料最近,该公司也提出了一些好的想法。正如您所提到的,赛门铁克和大多数领先的 IT 组织一样,因为这是他们进行一些营销的一种方式。
我发现最成功的认知主题是那些具有直接和明显好处的主题。定期更改密码对大多数用户来说并没有明显的好处。避免点击在线广告也是如此。但如果这些内容的措辞能够吸引你的受众,那么你更有可能成功。例如,如果你有父母,他们会对可以保护他们的孩子(哦,顺便也教他们良好的工作习惯)。
对于 IT 员工来说,安全意识似乎影响较小。根据我的经验,明确的程序和政策、良好的管理指导和安全文化更为成功。
答案3
训练能做的事情非常有限,尤其是当不遵守规则不会有任何(可察觉的)后果时。
我们安全领域的人必须接受这样一个事实:人们有更重要的事情要做,而不是遵守我们愚蠢的规则,他们大多数都不懂这些规则,而且对用户的任何后果都延迟了很久(几小时、几周、几个月),大多数人永远不会明白。这是纯粹的心理学,我们真的需要从过去 60 年的营销/宣传/操纵中汲取关于人类大脑的教训。
最好的选择是操纵成功之路。无论您想让用户做什么,都要让安全的方式成为最简单/最快/最便宜的方式。用户会跳过安全建议,因为它可以为他们节省 2 秒钟,因此请尽可能奖励良好的行为。
示例:很多年前,我所在的组织遭受了用户在多个系统中使用相同密码的困扰,这些系统接受来自任何地方的 telnet 访问。攻击者不止一次利用了这一点。
终止 telnet 并转为使用密钥身份验证的 ssh 解决了安全问题,并且用户无需在每个远程连接上输入用户名和密码。不必为每个新连接输入密码,这使得他们每天早上都必须使用密码解锁 ssh 密钥变得可以接受。
答案4
当我开始在一家大约有 60 名员工的公司工作时,便利贴甚至没有被隐藏起来。它们被贴在显示器上,因为这样可以省去拿起键盘或手机阅读的额外步骤。尝试进行全面的教育过程完全是在浪费时间。有一次我意识到,我与最严重的违规者进行了一对一的谈话。在可能的情况下,我会找出那些喜欢聊天和闲聊的人,并把注意力集中在他们身上,让他们(无意中)通过闲聊帮助我传播消息。
大概花了 3 个月左右的时间,但效果非常好。一旦高级经理明白了,通常是通过他们自己的员工提醒,事情就会变得更加正式,我的工作(在这方面)就完成了。