Оценка эффективности программы повышения осведомленности в области ИБ.

Февраль 14, 2021

Главная
Разное
Оценка эффективности программы повышения осведомленности в области ИБ.

Содержание

2. Программа повышения осведомленности При проведении программы повышения осведомленности необходимо: Определить направление чего мы хотим достигнуть? Определить
3. Определить направление Базируется на политиках безопасности Пароль должен состоять из цифр, букв… Запрещается использовать корпоративный пароль
4. Определить текущее состояние Например, программа направлена на снижение таких рисков, как: Распространение сетевых червей Заражение системы
5. Например…
6. Сводная статистика
7. Реагирование на инцидент Кто и как отреагировал на сообщение Вступил в переписку У меня не открывается
8. Совмещение «оценки» с «повышением»
9. Резюме Планируя программу повышения осведомленности необходимо учитывать работы по оценке эффективности Для каждого из направлений Программы
11. Скачать презентацию

Программа повышения осведомленности
При проведении программы повышения осведомленности необходимо:
Определить направление
чего мы хотим

достигнуть?
Определить текущее состояние
как обстоят дела на настоящий момент?
Реализовать программу
Оценить эффективность
что изменилось за время проведения работ?

Определить направление
Базируется на политиках безопасности
Пароль должен состоять из цифр, букв…
Запрещается использовать

корпоративный пароль на внешних сайтах
Запрещается копировать конфиденциальные документы на внешние носители информации
Беспроводные интерфейсы должны отключаться, когда они не используются
Запрещается запускать исполняемые файлы, полученные по электронной почте
…

Слайд 4

Определить текущее состояние
Например, программа направлена на снижение таких рисков, как:
Распространение сетевых

червей
Заражение системы троянской программой
Атаки типа «фишинг»
Использование уязвимостей ПО
Использование социальной инженерии
Используя методы тестирования на проникновение провести массовую рассылку почтовых сообщений, имитирующих хакерские атаки…

Слайд 5

Например…

Слайд 6

Сводная статистика

Слайд 7

Реагирование на инцидент
Кто и как отреагировал на сообщение
Вступил в переписку
У меня не

открывается анкета!!!
Приступил к расследованию инцидента
Компания Positive Technologies рассылает СПАМ?!
Обратился в службу безопасности

Слайд 8

Совмещение «оценки» с «повышением»

Слайд 9

Резюме
Планируя программу повышения осведомленности необходимо учитывать работы по оценке эффективности
Для каждого из

направлений Программы вырабатываются свои критерии и методы оценки эффективности
Например, проведение серии согласованных атак, и отслеживание реакции пользователей на них
Появляется возможность использовать простые количественные критерии эффективности (BSC/KPI)
Результаты оценки эффективности может использоваться как действенный механизм повышения осведомленности
А безопасники у нас суровые. Вон, Петр Иванович в прошлом месяце какое-то не то письмо открыл, так его фотку на доске позора, как пособника шпионов повесили. Так что ты того, аккуратней…