Comment créer un programme efficace de sensibilisation à la sécurité de votre organisation ?

Votre organisation prend-elle la sécurité au sérieux ? Vos utilisateurs savent-ils comment repousser les attaques d’ingénierie sociale ? Le chiffrement des données est-il activé sur les périphériques portables de votre entreprise ? Si vous avez répondu  » non  » ou  » je ne sais pas  » à l’une ou l’autre de ces questions, alors votre organisation n’offre pas une bonne formation de sensibilisation à la sécurité.

Wikipedia définit la sensibilisation à la sécurité comme la connaissance et l’attitude des membres d’une organisation concernant la protection des biens matériels et des renseignements de l’organisation.

A lire en complément : Quels sont les défis liés à l'adoption de l'IoT ?

Si vous êtes responsable des actifs d’information de votre organisation, vous devriez certainement élaborer et mettre en œuvre un programme de formation de sensibilisation à la sécurité. L’objectif devrait être de sensibiliser vos employés au fait qu’il y a de mauvaises personnes dans le monde qui veulent voler de l’information et endommager les ressources de l’organisation et qu’un bon programme de sensibilisation à la sécurité suscitera un sentiment de fierté quant à la propriété des données et ressources de votre organisation. Les employés considéreront les menaces qui pèsent sur leur organisation comme des menaces pour leur gagne-pain.

Examinons quelques conseils pour créer un programme de formation efficace de sensibilisation à la sécurité. La formation de sensibilisation à la sécurité devrait inclure l’éducation des utilisateurs sur les concepts de sécurité tels que la reconnaissance des attaques d’ingénierie sociale, les attaques de logiciels malveillants, les tactiques de phishing et d’autres types de menaces qu’ils sont susceptibles de rencontrer. Vous pouvez consultez notre page Lutte contre la cybercriminalité pour obtenir une liste des menaces et des techniques cybercriminelles.

A lire également : Comment choisir un antivirus gratuit fiable et efficace

Enseignez l’art perdu de la construction de mots de passe

Alors que beaucoup d’entre nous savent comment créer un mot de passe fort, il y a encore beaucoup de gens qui ne réalisent pas à quel point il est facile de casser un mot de passe faible. Il est important d’expliquer le processus de craquage de mot de passe et comment les outils de craquage hors ligne tels que ceux qui utilisent Rainbow Tables fonctionnent.

Beaucoup d’entreprises disent à leurs employés d’éviter de discuter des affaires de l’entreprise pendant qu’ils sont à l’extérieur parce qu’on ne sait jamais qui pourrait les écouter, mais ils ne leur disent pas toujours de regarder ce qu’ils disent sur les sites de médias sociaux.

Une simple mise à jour de votre statut sur Facebook pour vous dire à quel point vous êtes furieux que le produit sur lequel vous travaillez ne soit pas publié à temps pourrait être utile à un concurrent qui pourrait voir votre statut affiché, si vos paramètres de confidentialité sont trop permissifs. Enseignez à vos employés que la perte de tweets et les mises à jour de statut peuvent tout à fait faire aussi couler des navires.

Focalisez-vous sur la protection des informations

Il existe des entreprises rivales qui espionnent leurs concurrents à partir des médias sociaux. Pour ce faire, ils vont à la recherche des employés de leurs concurrents pour prendre le dessus sur les informations partagées, s’informent afin de savoir qui travaille sur quoi.

Les médias sociaux représentent encore une frontière relativement nouvelle dans le monde des affaires et de nombreux gestionnaires de sécurité ont du mal à traiter avec elle. L’époque où il suffisait de le bloquer au pare-feu de l’entreprise est révolue.

Les médias sociaux font maintenant partie intégrante des modèles d’affaires de nombreuses entreprises. De ce fait, il convient d’éduquer les utilisateurs sur ce qu’ils devraient et ne devraient pas afficher sur Facebook, Twitter, LinkedIn et autres sites de médias sociaux afin d’éviter tout problème.

Sauvegardez vos règles avec des conséquences potentielles

Les politiques de sécurité sans mordant ne valent et ne vaudront rien pour votre organisation. Vous vous devez d’obtenir l’adhésion de la direction et créer des conséquences claires pour les actions ou l’inaction des utilisateurs.

Les utilisateurs doivent savoir qu’ils ont le devoir de protéger les informations en leur possession et de faire de leur mieux pour les garder à l’abri de tout dommage, qu’il y a des conséquences civiles et pénales à la divulgation d’informations sensibles et/ou propriétaires, à la manipulation des ressources de la société.

Surfez sur la vague et créez votre propre programme

Le National Institute of Standards and Technology (NIST) a littéralement écrit un livre sur la façon d’élaborer un programme de formation de sensibilisation à la sécurité et, surtout, c’est gratuit. Il vous suffit de télécharger la publication spéciale 800-50 du NIST et de créer un programme de formation et de sensibilisation à la sécurité des technologies de l’information pour apprendre à créer votre propre programme.

Afficher Masquer le sommaire