web-dev-qa-db-ja.com

従業員レビューのセキュリティパフォーマンス基準

セキュリティの専門家の誰かが、マネージャーが従業員に対して実施するレビューにセキュリティパフォーマンスメトリックを取得できましたか?もしそうなら、それを実現するために共有できる役立つリソースはありますか?

corporate-policypeople-managementmetrics
4
user35603

完全に有効な回答とすでにここにあるコメントとは異なる視点を丁重に提供したいと思います。

私は線の間をよく読んでいますが、元の質問はかなり良い(そして難しい)ことを達成しようとしていると思います-意識の客観的な測定により、部門レベルでセキュリティ意識を優先します。

その結果、さまざまなマネージャーがITセキュリティに関して直属の部下がいかに優れているかを認識し続け、個々のインシデントではなく、参照するのが難しい数値があります。 HRが対処するもう1つのこととして残されているだけではなく、規律ではなくトレーニングとして扱っています。

ITセキュリティは非常に微妙なので、個々のマネージャーは人事部よりも直属部下を評価するのに適しています

フィッシングは、上級管理職や財務管理者にとってはるかに脅威です。彼らのアカウントはビジネスに重要なシステムにアクセスできるので、彼らが「フィッシング耐性」を持っていることが重要です。メンテナンスクルーがフィッシングに対して不十分なスコアを付けても大丈夫です-彼らのアカウントにはほとんど特権がないようです。対照的に、メンテナンスクルーは建物全体(スイッチキャビネット、ケーブル配線などを含む)にアクセスできるため、物理的なセキュリティに優れている必要があります。

単一部分のインシデントではなく、注意深い調査からの数値を取得する方が良いため、メトリック部分は素晴らしいです。 しかし、これは難しい部分です。

これを行うには、各スタッフメンバーを常に体系的に評価するための適切に設計されたフレームワーク[〜#〜] and [〜#〜]に継続的にテールゲートしようとする「赤いチーム」が必要です。建物、「悪意のある」USBドライブを従業員の駐車場に残したり、フィッシングの従業員にメールを送ったり、nude-pics.jpg.exeをスタッフに電子メールで送信したりします。

  • 「フィッシング攻撃への耐性」:24のテストフィッシングメールを受信し、フィッシングページに2回アクセスし、資格情報を0回入力しました。
  • 「不明なUSBドライブの安全な取り扱い」:2つの「紛失した」USBドライブのうち2つをITヘルプデスクに返却.

優秀ですが、非常にリソースを集中的に使用します。次に、部門間の評価、経時的な改善、完全なスコアの賞などを比較することにより、システムを模倣して応答を向上させることができます。

トレーニング以外の実世界のインシデントからメトリックを導出することを計画している場合、それらはスタッフのトレーニングや意識向上にはあまり役に立たないことに同意します。

6
scuzzy-delta

コメントシステムが短すぎるというだけの理由から、これは答えです。

「セキュリティパフォーマンスメトリック」は本質的に無意味であるとPantherに同意します。

あなたの会社には、セキュリティポリシーと、そのポリシーを適用する方法が必要です。これらのポリシーに違反した場合の影響については、従業員用マニュアルを明確にする必要があります。手首の平手打ちか、完全な終端かどうか。少なくとも、2番目のインシデントが失業につながることを知った上で、軽微なインシデントの場合でも従業員に通知する必要があります。パスワードまたはさらに悪いことにPIIが適切に吟味されていない人に渡されるなどの「重大な」セキュリティ違反の場合、それは即座に終了し、それらのものがメールで送信されます。

そのようなものを処理するためのメカニズムはすでにHR 101であるため、レビューに他に何かを追加する必要は実際にはありません。 「ああ、あなたは私たちのセキュリティポリシーに違反していないようです。または「見てください、私はあなたに昇給をあげますが、あなたはそのナイジェリアの詐欺メールの事柄に関してすでに熱湯にいます。来年もう一度やり直してください。」

セキュリティトレーニングなどについても、他の仕事関連のトレーニングアイテムと同じように処理する必要があります。フォルダ内のラインアイテムです。彼らは自分の名前が書かれた素敵な証明書を手に入れましたか?クーリオ。彼らはあなたが欠落したために解雇されるあなたの必須の訓練のいずれかに出席しなかったのですか? -まあ、それはそれ自体を整理する必要があります。

「フィッシング攻撃への抵抗」についておっしゃっていましたが、それはどういう意味ですか? 「ああ、去年、受信トレイから923,234通のスパムメールを削除したようですね。お見事です!」 ::アイロール::

はい、この答えは皮肉に垂れています。セキュリティがすべての従業員が知っておくべきトピックであるとは思えないからではありません。むしろ、それは、通常の従業員トレーニング、従業員マニュアル、および既存の人事ポリシーによってすでに処理されるべきトピックであることがわかりました。そうでない場合、あなたはあなたの仕事をしていません...そしてそのためのあなたの年次レビューにラインアイテムがあるはずです。

2
NotMe

この「フィッシング耐性」へのこだわりとは何ですか?セキュリティポリシーと手順の遵守についてはどうですか?インシデントの発見と報告、新しいリスク、新しい機会についてはどうですか?情報セキュリティとリスク管理活動に積極的に関与していますか?新しいシステムでビジネス継続性の計画やセキュリティ機能のテストを支援しますか? ....セキュリティを意識した従業員が行うセキュリティ関連の事柄はたくさんありますが、それが本当にやりたいことなら、それらすべてを測定することができます。

しかし、実際には、何が重要なのでしょうか。

いくつかの手順を戻します。従業員のセキュリティ意識に関するビジネス目標は何ですか?組織は何を達成しようとしていますか?どういうわけか、私はリストの「フィッシング耐性」機能をまったく疑っています。なぜそれを測定するのですか?

「強力なセキュリティカルチャーを構築する」などの目的がより可能性が高く、そのカルチャーを測定することで、まったく異なるメトリックの方向に進むことができます。

0
user35676