15 активностей з кібербезпеки для співробітників (які не нудні)

Більшість програм обізнаності з безпеки провалюються з тієї самої нудної причини: вони нудні.

Співробітники сидять через 45-хвилинне відео про гігієну паролів, натискають “Далі” в тесті та забувають все до обіду. Ви це знаєте. Вони це знають. Показники натискань на фішинг це доводять.

Рішення не в кращих відео. Це в тому, щоб підняти людей з крісел і занурити в сценарії, що відчуваються реальними. 15 активностей нижче це ті, які ми бачили працюючими в реальних компаніях, з реальними скептичними співробітниками, що дають реальні вимірювані покращення.

Якщо ви хочете ширший погляд на вправи з кібербезпеки та як структурувати програму, ми це розглянули окремо. Цей пост це практичний посібник: конкретні активності, які ви можете провести цього тижня.

Формати з мінімальною підготовкою та високою енергією для команд, які ще не проводили інтерактивне навчання з безпеки. Почніть тут.

Покажіть 10-15 скріншотів електронних листів на проєкторі. Команди мають 60 секунд на лист, щоб вирішити: легітимний чи фішинг? Вони записують тривожні ознаки, які помітили. Бали за правильні відповіді, бонусні бали за називання конкретних індикаторів.

Це добре працює з групами 4-20 людей. Закладайте близько 20 хвилин. Змагальний елемент це те, що робить його захоплюючим.

Кожен створює свій найкращий пароль або парольну фразу, потім ви тестуєте кожен через проєкований тест надійності. Просто, швидко, дивно змагально.

Будь-який розмір групи працює. 15 хвилин достатньо. Момент, коли чийсь “незламний” пароль отримує низький бал, привертає увагу всієї кімнати.

Читайте сценарії соціальної інженерії вголос. Учасники піднімають руку, щойно чують тривожну ознаку. Перший, хто помітив, отримує бал.

Показуйте URL по одному і дозволяйте людям визначати, які справжні, а які шкідливі. Це навчає конкретній, перевірюваній навичці, що безпосередньо переноситься на щоденну роботу.

Більшість співробітників ніколи раніше не розглядали структуру URL. Як тільки ви пройдете анатомію URL і покажете поширені патерни обману, вони починають перевіряти. Ця одна звичка запобігає значній частині фішингових атак.

Команди розв’язують безпекові головоломки, щоб “втекти” зі сценарію симульованого зламу. Групи з 4-8 людей, 45-60 хвилин.

Розподіліть ролі: CISO, IT, Legal, Communications, HR. Представте еволюціонуючий інцидент безпеки з новою інформацією кожні кілька хвилин. Команди координують рішення в реальному часі.

45 хвилин для групи 6-15 людей. Це особливо релевантно для команд, що будують культуру людського файрволу між відділами.

Переверніть перспективу. Малі команди з 3-5 людей розробляють найпереконливіший фішинговий лист, який можуть, цілячи у вигадану компанію. Презентуйте їх, проголосуйте за найпереконливіший, потім розберіть кожен для виявлення підказок.

Класичний формат Jeopardy з категоріями безпеки: Фішинг, Паролі, Фізична безпека, Соціальна інженерія, Реагування на інциденти.

Залучіть одного волонтера на 25-50 співробітників для ролі зв’язкового відділу з безпеки. Дайте їм додаткове навчання, спільний канал комунікації та ранній доступ до оновлень безпеки.

Нагороджуйте співробітників, які повідомляють про підозрілі листи, позначають проблеми безпеки або виявляють потенційні інциденти.

Додайте безпекову головоломку в кожний щомісячний бюлетень. Співробітники, які розв’язують її, отримують записи в розіграш.

Представте сценарії рахунків, змішуючи реальні та шахрайські зразки. Команди ідентифікують тривожні ознаки.

Проведіть керівну команду через знешкоджені кейс-стаді вейлінг-атак. 30 хвилин.

Рекрутери отримують більше незапрошених зовнішніх контактів, ніж майже будь-хто в організації. 30 хвилин практики ідентифікації підозрілої поведінки кандидатів.

IT-персонал має підвищений доступ, і зловмисники це знають. 45 хвилин рольових сценаріїв.

До початку. Пройдіть через повну активність самі. Підготуйтеся до опору. Встановіть рамку: це практика, а не тест.

Під час проведення. Підтримуйте темп. Визнавайте всі спроби, не лише правильні.

Після. Підсумуйте три висновки, максимум. Вкажіть людям на ресурси для поглибленого вивчення.

Якщо ви ніколи не проводили інтерактивне навчання з безпеки, почніть з батлу фішингових листів (#1). Мінімальна підготовка, висока енергія, універсально релевантно.

Якщо ви вже проводите активності, але хочете кращих довгострокових результатів, інвестуйте в програму чемпіонів безпеки (#9) та нагороди за звітування (#10).

А якщо ви хочете побачити, як виглядає професійне інтерактивне навчання з 3D-симуляціями та сценаріями, які ваша команда дійсно запам’ятає, перегляньте наш каталог вправ.

Хочете пропустити DIY-налаштування? Спробуйте наші безкоштовні вправи Фішинг, Соціальна інженерія, Вішинг або Смішинг і побачте, як виглядає навчання на основі симуляцій. Перегляньте наш повний каталог навчання з 60+ інтерактивними вправами.