在实施公司的BYOD策略时，应该如何提供安全用户培训？

Question

我们公司正在实施BYOD政策。作为信息安全小组的高级成员，我正在与管理层合作起草最终用户培训准则/标准。我公司是一个规范的行业，经常与PII / PHI一起工作。公司员工来自不同的技术背景，从网络安全背景(像我一样)到完全非技术背景(例如:呼叫中心的客户支持代表)。

随着BYOD的实现，我认为终端用户对安全控制和安全意识的培训变得更加重要，因为端点设备的安全性成为用户的更多责任，比如下面列出的责任。我还看到最终用户的事件响应责任越来越重要，以减少意外事件就像这个。

• 用户设备修补
• 维护AV和恶意软件解决方案
• 加密WiFI的使用与公共WiFi热点的避免
• 公司数据和用户要求的安全存储和传输，将公司数据与用户设备上的个人数据隔离开来

我一直在考虑如何使教育适合所有的最终用户，无论是否IT。我们的团队希望培训足够深入，以便最终用户知道他们对保护个人设备上的公司数据的期望是什么，但并不是技术水平令最终用户感到困惑。我想起草一份草案：

1. 为非技术人员提供非常高水平的BYOD，重点是为什么和什么
2. 相同的高水平培训，但更多的技术细节如何为IT员工提供更多的技术诀窍。

问题：

1. 当向公司员工提供有关IT安全的培训材料时，应该如何决定哪个级别的培训是最合适的？
2. 在实施BYOD时，对终端用户进行培训是否有其他考虑因素，以了解他们增加的责任和期望？
3. 培训方法或内容，如果有什么变化，应该对第三方/供应商(一些国际)谁从自己的设备访问公司的IT资源？

Answer 1

在安全社区，BYOD代表着“带来你自己的灾难”。

任何现实的实现都需要将网络分割开来，将核心系统与更广泛的接入网隔离开来。

公司访问应仅通过公司提供的加密VPN/隧道应用程序与2FA。这反过来又意味着个人跟踪，副一般许可。

限制个人设备访问服务和协议的白名单。

全面的网络活动监视器需要运行和注意，而不是记录和忽略，因为这是如此普遍。

培训应强调网络监控。明确和公开个别行动是跟踪和记录的。

祝好运!

Answer 2

什么级别的培训是合适的？导致行为改变的训练水平。培训的全部目的是让人们表现得与众不同或始终如一。要实现这一点，您通常需要创建层次的培训，以适应不同级别的技术知识。

BYOD安全培训的更多考虑与提高对其个人设备上的数据分类的认识有关。他们到处走着，口袋里装着对公司敏感的PHI/PII数据。另一个要点是把他们的个人设备交给家庭成员的影响。虽然他们可能会三思把公司的手机交给一个蹒跚学步的孩子，但当这是他们自己的手机时，他们可能就不会去想了。

至于第三方，你想要做的任何训练改变都取决于你希望他们有什么行为，就像上面一样。如果你想让他们有不同的表现，那就接受不同的训练。

Answer 3

有一次，我看到一个笑话，说一个错误在装船前是无法修复的。上面写着：“我们会在手册上修改”。当它不在手册上时：“我们将提供培训。”

所以你现在在这条线的末尾:你需要提供训练。然而，如果你没有所有的技术措施，过程，监测和类似的地方来保护你的数据和过程，任何数量的培训都是不够的。你说：

随着BYOD的实现，我认为最终用户对安全控制和安全意识的培训变得更加重要，...。

这基本上告诉我，你正在通过培训解决你的安全缺陷。

你可能已经制定了一些指导方针，比如不要在笔记本电脑上存储敏感数据，当你的笔记本电脑被盗时报告，在转售笔记本电脑/手机之前清除干净等等。根据我的经验，再多的培训也无法确保人们真正做到这一点。

问题是:人们需要做好自己的工作。除非你已经找到了自动化的圣杯，否则它们将永远受到系统的限制，并将围绕着它工作。这将意味着将数据存储在个人设备上，因为这在特定的会议上更方便，或者其他各种原因。他(她)会因为拥有这些数据而受到赞扬，而不是因为在个人设备上拥有数据而受到谴责。

我建议，在你的培训中，你至少要解决以下几点：

• 我们处理的是什么样的数据，对数据丢失的人有什么影响，对公司有什么影响？
• 如果你看到什么奇怪的事就报告。这必须得到处理这些报告的过程的支持，并就如何处理投诉提供反馈。对于这些报告也应该有一个开放的氛围，而不是卡夫卡的过程处理。
• 参与者可以问如何在不违反规则的情况下完成他们的工作。
• 不要只告诉他们你有安全监控，给他们看。
• 确保他们明白，如果某件事在技术上是可能的，这并不意味着它是允许的。
• 当然，确保他们的补丁，使用比特储物柜/Luks/等，有抗病毒，强密码和S*吨技术的东西。