誰もがフィッシング詐欺について知っており、私たちのほとんどは、自分は頭が良すぎて餌を取ることができないと考えています。会社のネットワークにログオンしているとき、私たちの自信はしばしばスーパーヒーローのレベルに達します。 Microsoft のチーフ セキュリティ アドバイザーとして、以前は電話会社 Swisscom に勤務していた私の仕事は、従業員がセキュリティ トレーニングを日常業務にどのように適応させているかを理解することです。長年の経験から、組織のあらゆるレベルにまたがる人間の行動には共通点があることがわかりました。何よりも、人々は自分が働いている会社と自分が受け取るコミュニケーションを信頼したいと考えています。はい、彼らの雇用主は彼らを気遣っていますが、彼ら自身と彼らの会社の個人データを保護するために警戒する必要があることを彼らが理解できるようにすることが私たちの仕事です.
ヒント #1: 楽しくする。つまり、人々が実際に見たくなるようなトレーニング モジュールを作成するということです。お気に入りのテレビ番組について考えてみてください。すべてのエピソードをどんちゃん騒ぎしたい理由があります。あなたはキャラクターを気にかけているか、少なくとも彼らのジレンマがどのように機能するかに興味があります.良い例は Fox のテレビ番組24です。すべてのエピソードは、ハイステークスで展開されるストーリーの 1 時間でした。あなたのトレーニング プログラムは生死に関わる結果を必要としませんが、コンプライアンスのチェック ボックスをオンにするだけでなく、人々に監視する理由を与える必要があります。
ヒント 2: 簡単にしましょう。あなたのエンドユーザーはあなたの顧客です。そのため、彼らに賛同してもらう必要があります。新しいセキュリティ ソリューションを調査するとき、私は次のように尋ねます。そうでない場合、おそらくユーザーフレンドリーなソリューションではありません。ランダムな記号、大文字と小文字、および数字 (書き留めてはならない) で構成される 20 文字のパスワードを作成するよう人々に依頼することは容易ではありません。より良いオプションとして、Azure Active Directory のパスワードレス認証オプションを試してください。組織に Microsoft Defender for Office 365 Plan 2 があり、これには脅威の調査と対応の機能が含まれています。セキュリティ & コンプライアンス センターで攻撃シミュレーターを使用して、現実的なシナリオを実行できます。これらのシミュレートされた攻撃は、実際の攻撃者がノックする前に、脆弱なユーザーを簡単に特定するのに役立ちます.
ヒント 3: 最も高いリスクに注目する。 セキュリティ侵害のほぼ 3 分の 1 は、影響を受けた組織に平均 140 万米ドルの損害を与えるフィッシング攻撃から始まります。セキュリティ トレーニングの後でも、従業員は平均 20 ~ 30% の割合でフィッシング リンクをクリックします。在宅勤務者の増加に伴い、 同意フィッシングなどの新しい形態が出現し、新しい脆弱性を悪用しています。組織内の人々がリスクが現実であると認識できる場所にリソースを振り向けると、積極的な関与が生まれます。
ヒント 4: 侵害について透明性を保つ。 100% の無敵性を主張できる組織はありません。彼らが防御の最前線であることを人々に知らせてください。攻撃が成功したときにスタッフと連絡を取ることで、スタッフは警戒を怠らずにすみます。誰が偽の Zoom 招待状をクリックしたかが明らかなほど多くの情報を公開しない限り、例を挙げても問題ありません。従業員を子供扱いしないように注意してください。彼らは自分の行動を所有する必要がありますが、恥をかくことはあなたの組織をより安全にすることはありません.
ヒント 5: コンプライアンスのみの考え方を避ける。はい、年に 1 回、従業員が忠実にクリックして実行するサイバーセキュリティ トレーニングは、組織の要件を満たしています。しかし、従業員の同意を得るということは、単にチェックボックスをオンにするだけではありません。被害者がたまたま別の会社だったとしても、違反後に再教育コースをスケジュールしてください。楽しく魅力的なセキュリティ プログラムを作成するには、おそらくそれ以上の費用がかかりますが、重大な侵害によるダウンタイムと生産性の損失によるコストがどれだけ高くなるかを自問してください。それらの資金を事前に保護に投資することをお勧めします。
ヒント 6: 継続的にコミュニケーションと教育を行う。セキュリティ ニュースを通常のスタッフ コミュニケーションの一部にします。大企業や政府機関を狙ったニュースの見出しを飾ったハッキングや、私たち全員が直面している小規模な ID 盗難や決済アプリ詐欺について、従業員と話し合ってください。サプライ チェーンのセキュリティと、許可されていないデバイスとシャドー IT の使用の危険性について話します。サイバーセキュリティの脅威は、圧倒的で恐ろしいものです。コミュニケーションは、これらの脅威を分かりやすく説明し、従業員が自分自身と組織を守る力を与えられていると感じさせるのに役立ちます。
Microsoft セキュリティ ソリューションの詳細については、当社のWeb サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
参考: https ://www.microsoft.com/en-us/security/blog/2020/09/24/microsoft-security-6-tips-centric-cybersecurity-security-training/
Comments