现代安全意识活动

我们曾经把以下内容放在我们的内部网上，作为一个友好的提醒，他们应该定期更改密码。 我非常确定它的工作，因为“我忘记了我的密码”types的服务台电话在接下来的两周的电话是高于平均水平！

把一个工作起来很难。 它有助于吸引人的内容和一些奖励（例如运行一个简单的测验并放弃某些有趣的事情）。 有助于组织中有影响力的领导积极参与意识宣传。

微软有一个你可以下载的工具包，里面有一些想法。 Sophos最近发布了一些材料 ，也有很好的想法。 正如赛门铁克（正如你所提到的）和大多数领先的IT组织一样，因为这是一种可以在某些市场营销中滑落的方式。

我发现最为成功的意识话题是那些立即获得明确利益的话题。 定期更改密码对于大多数用户来说没有明显的好处。 同样避免点击在线广告。 但是，如果这些措辞能够吸引观众，那么你更有可能成功。 例如，如果你有父母，他们会对保护孩子的计算机安全build议很敏感（哦，并且偶然地教他们良好的工作实践）。

对于IT人员来说，安全意识似乎影响较小。 根据我的经验，清晰的程序和政策，良好的pipe理指导和安全文化是比较成功的。

培训只有这么多，特别是在没有遵守规则的情况下（没有发现）的后果。

我们在安全领域需要接受这样一个事实，即人们有更好的事情来处理自己的时间，而不是遵循我们愚蠢的规则，其中大部分是他们不明白，对用户的任何后果是如此延迟（几个小时，几个星期，几个月），绝大多数人永远不会学习。 这是纯粹的心理学，我们非常需要从过去60年的市场营销/旋转/操纵已经教给我们关于人类大脑的线索中得到线索。

你最好的select是操纵你的成功之路。 无论您想要让用户做什么，都要以最简单/最快/最便宜的方式实现安全。 用户跳过安全build议，因为它可以节省2秒钟，所以尽可能地奖励好的行为。

例如：很多年以前，我曾经在一个组织中遭受用户在许多系统中挑选相同密码的困扰，这些系统从任何地方接受了telnet访问。 攻击者不止一次地利用了这一点。

使用密钥validation杀死telnet并进入ssh解决了安全问题，并且不需要用户在每个远程连接上input用户名和密码。 不必为每个新的连接input密码，那么他们就必须每天早上用密码解锁他们的ssh密钥。

有人声称，安全意识运动很less有持久的积极效果，但我认为关键是要在用户面前得到消息，但是以积极的方式。

我们已经使用了各种幽默的消息，在我们组织使用的标准化屏幕保护程序中显示为随机图像。 便宜，并达到整个组织。 此外，在内部网上及时发布信息post也是有用的，例如如何安全地使用社交networking。 更多的技术问题，如密码质量/生命周期应该由技术限制执行，不作为每个用户的select。

当我开始在一家有60多名员工的公司工作时，邮政甚至没有隐藏起来。 他们被困在显示器上，因为它节省了不得不抬起键盘或手机读取的额外步骤。 尝试批发教育过程完全浪费时间。 有一次我意识到我和一个最坏的罪犯进行了一对一的谈话。 在可能的情况下，我找出那些喜欢聊天和闲聊的人，把注意力集中在他们身上，让他们（无意中）帮助我通过他们的闲话散布这个词。

大概需要3个月左右，但结果非常好。 一旦高级pipe理人员经常通过自己的员工提醒，事情变得更加正式，我的工作（在这方面）完成了。