セキュリティの文化を創造する

10月は全国サイバーセキュリティ意識月間です。

それはまた、（とりわけ）乳がん啓発月間、歯科衛生月間、全国いじめ防止月間、そして私の個人的なお気に入りである全国ピザ月間でもあります。さらに、それはハロウィーンです！しかし、私は逸脱します…私たちはサイバーセキュリティについて話すためにここにいます。

すべてのメーカーは、すべてのスタッフに対してサイバーセキュリティ意識向上トレーニングを実施する必要があります 少なくとも 一年に一度。多くの人が「サイバーセキュリティ」や「トレーニング」という言葉に驚かされるので、10月はそれにふさわしい時期のようです。トレーニングでは、少なくとも、ITセキュリティ、情報セキュリティ、物理的セキュリティなどの関連する企業ポリシーをカバーする必要があります。

何年にもわたって、私たちの多くはこの種の訓練を受け、それを恐れることを学びました。誰かが昨年行ったのとまったく同じサイバーセキュリティスピーチを行い、次にあなたがそこにいたことを示す署名用の紙を配るトレーニング。本物のスヌーズフェスト。この種のトレーニングは、最低限を満たす限りその役割を果たしますが、実際の従業員の行動の形成にはほとんど影響しません。

サイバーセキュリティの認識とトレーニングの取り組みの真の目的は、セキュリティの文化を構築することです。つまり、従業員は、優れたサイバーセキュリティの実践を優れたビジネスと見なし、「ここでビジネスを行う方法」の一部と見なす必要があります。従業員は、サイバーセキュリティに関する適切な決定を下し、何が適切な決定を下すのかを理解できるようになっていると感じる必要があります。意識とトレーニングは以下に焦点を当てる必要があります：

• 危険な行動を止める： どのような決定が悪い結果につながる可能性があるかを従業員が知るのを助けます。たとえば、不明なソースからの電子メールの添付ファイルを開きます。
• リスクの少ない行動を奨励する： 従業員がセキュリティを強化するプロセスの実装を理解し、気にかけるのを支援します。たとえば、強力なパスワードを作成する方法。
• 従業員を番兵に変える： 従業員がサイバーセキュリティイベントを認識して対応できるようにします。たとえば、ゲストが許可されていないUSBドライブをマシンに接続した場合の対処方法。

理想的には、トレーニングは継続的な取り組みである必要があります。ビジネスの日常業務にサイバーセキュリティトレーニングを含める方法に関するいくつかのアイデアは次のとおりです。

• 会社の重要な目標としてサイバーセキュリティを定期的に強調します。
• 1つのサイバーセキュリティのヒント、トリック、またはリマインダーをすべての会議に統合します。
• 適切なセキュリティ慣行について職場にリマインダーを投稿します。
• 定期的な会議を開いて、従業員がより適切なセキュリティ上の決定を下しやすくする可能性のあるプロセスの改善について話し合います。

優れた従業員のサイバーセキュリティトレーニングがどのようなものかについては、多くの研究が行われています。一般に、頭字語「RAINSTORMS」を使用して要約できます。はい、私は今それを作りました。

• R eal：実際のケーススタディまたは現実的なシナリオを使用すると、レッスンを持ち帰ることができます。
• A 行動可能：従業員がすぐにできることを含めます。これには、パスワードの変更、IT資産のインベントリの作成、電話でインシデントを報告する必要のある個人または組織の連絡先情報の確認が含まれる場合があります。長期的な宿題が適切な場合もありますが、当面の目標を持つことは常に役に立ちます。
• 私 インタラクティブ：ロールプレイ、小グループディスカッション、または実践的な演習は、トレーニングをよりインタラクティブにするための優れた方法です。理想的には、対話には、すべてのレベルの管理者が関与する双方向の会話を含めて、全員が同じ責任を負い、全員が同じページにいることを全員が確実に理解できるようにする必要があります。
• N ew：トレーニングでは、特にポリシーについて話すときに、ある程度の繰り返しが適切ですが、古くなることはありません。さまざまなトレーニング形式（講義、ロールプレイ、ビデオなど）が役立ちます。
• S モール：一口サイズの情報は、コンピュータサイエンスの学位に相当する情報全体を従業員に強制するよりもはるかに簡単に消化できます。通常、一度に1つのトピックが望ましいです。
• T estable：サイバーセキュリティトレーニングには、測定可能でテスト可能な目標が必要です。一般的な認識であれば、おそらくクイズを作成することができます。フィッシング攻撃を軽減することが目標である場合、イベントの数週間前と数週間後の両方で、偽のフィッシングメールを送信できる可能性があります。これは、トレーニングがどれほど効果的であったかを示すのに役立ちます。
• O wned：従業員は、所有権の感覚を感じてトレーニングを離れる必要があり、サイバーセキュリティは彼らの責任です。彼らは、サイバーセキュリティに関する適切な決定を下す権限を与えられていると感じるはずです。
• R elevant：ほとんどの企業にはさまざまなタイプのユーザーがいます。各タイプのユーザーに合わせてトレーニングを調整すると、より現実的になります。これは、製造現場の従業員とオフィスの従業員に対して異なるトレーニングを受けることを意味する場合があります。
• M emorable：頭字語、簡潔なニーモニック、または私の個人的なお気に入りのユーモアを使用します。人間は、しゃれ、悪いミュージックビデオ、猫のばかげたミームなど、面白いことを覚えています。退屈な講義よりもはるかに優れています。型にはまらないものにして楽しんでください。
• S imple：何よりも、トレーニングは単純でなければなりません。テクノバブルに満ちた過度に技術的なレッスンは、人々を眠らせるためだけに役立ちます。

National Initiative for Cyber​​security Education（NICE）には、従業員のトレーニングに役立つ無料および低コストのリソースの小さなリストがあります。オンラインで利用できる追加のリソースもたくさんあります。インターネットで検索するだけで、選択肢がたくさんあります。上記のRAINSTORMSテンプレートを使用して、これらのオプションを評価してください。

NIST MEPは、10月中、National Cyber​​security Alliance（NCSA）が提供するテーマと概要に従って、一連のブログを大まかに投稿します。今年のテーマは「DoYourPart。 #BeCyber​​Smart。」個人的には、ハッシュタグの自己宣伝のファンではありませんでしたが、今月中にサイバーセキュリティについてツイートしたりブログを書いたりする場合は、＃BeCyber​​Smartハッシュタグの使用を検討してください。

NCSAが発表した概要は次のとおりです。

• 10月5日の週（第1週）：接続する場合は保護する
• 10月12日の週（第2週）：自宅と職場でのデバイスの保護
• 10月19日の週（第3週）：医療におけるインターネット接続デバイスの保護
• 10月26日の週（第4週）：接続されたデバイスの未来

どこから始めればいいのかわからない？地元のMEPセンターに連絡することで、効果的なサイバーセキュリティトレーニングプログラムを実装する方法について詳しく知ることができます。 NIST MEPWebサイトでメーカーのサイバーセキュリティリソースにアクセスすることもできます。

このブログは、National Cyber​​security Awareness Month（NCSAM）のために公開されたシリーズの一部です。シリーズの他のブログには、If You Connect It、Protect It by Zane Patalive、Suspicious Minds：Non-Technical Signs Your Business May Hacked by Pat Toth、Securing Internet-Connected Medical Devices by Jennifer Kurtz、The Future of Connected Devices by ErikFoglemanとJeffOrszak。