La sensibilisation à la sécurité peut être considérée comme l’ensemble des connaissances et des comportements que les personnes d’une organisation ont en ce qui concerne la protection des actifs physiques et informationnels. µ
Il résume également l’une des parties les plus difficiles du mix de gestion de la sécurité. Il n’y a pas de repère établi sur ce que devrait être la sensibilisation à la sécurité pour toutes les organisations.
Le niveau de sensibilisation à la sécurité de votre organisation peut varier considérablement en fonction du secteur, de la taille de l’entreprise et de divers points d’expérience.
Pour ceux qui travaillent dans un secteur hautement réglementé comme la santé ou la finance, ou pour une grande entreprise publique, il peut être plus nécessaire qu’ils suivent de temps à autre une formation en matière de sécurité physique et de cybersécurité. Les erreurs commises par les êtres humains sont en fait les plus grandes menaces pour la sécurité organisationnelle – après tout, vous n’êtes aussi fort que votre maillon le plus faible, et les gens sont votre première ligne de défense.
La meilleure façon de s’assurer que l’ensemble de votre personnel est préparé à toute atteinte à la sécurité est de mettre en place une formation régulière sur la sécurité des employés.
Quel que soit votre secteur d’activité, la sensibilisation à la sécurité doit être une pratique commerciale de base. À l’heure actuelle, il existe un risque accru pour les personnes de déformer, d’endommager, de voler ou d’abuser délibérément ou accidentellement des données stockées dans les systèmes informatiques et d’information d’une entreprise.
Pour cette raison, la plupart des organisations ont désormais une formation obligatoire de sensibilisation à la sécurité pour tous les nouveaux employés ainsi que pour les employés existants.
13 meilleurs conseils de sensibilisation à la sécurité pour les employés
1. Former efficacement les employés
Tous les employés d’une organisation, des cadres supérieurs à ceux des échelons inférieurs, doivent savoir qu’ils ont un rôle à jouer dans le maintien d’une sécurité efficace dans une organisation. La formation à la sensibilisation à la sécurité est de la plus haute importance. Lorsque de nouveaux membres du personnel sont employés dans l’organisation, ils doivent être armés de conseils de sécurité adéquats, mais cela ne doit pas être une activité ponctuelle.
La formation doit être constamment appliquée pour garantir que la sécurité est une priorité pour les employés et que les dernières menaces sont couvertes. Pensez à des moyens créatifs de dispenser la formation afin qu’elle attire l’attention de tous et que l’information soit plus susceptible d’être retenue.
2. Connaissez votre public
Pour garantir le succès de la sensibilisation à la sécurité dans toute votre entreprise, vous devez connaître l’utilisateur final. Dans certains cas, votre public peut ne pas être une seule personne. Vous avez des personnes de différentes tranches d’âge et de savoir-faire technologique.
Vous avez des gens qui en savent assez pour être dangereux, et d’autres qui en savent si peu qu’ils sont les plus dangereux. En d’autres termes, votre démographie est variée, alors assurez-vous que votre contenu éducatif comme les vidéos et les blogs le soit aussi. Et ne le rendez pas toujours si inquiétant et sérieux.
3. Reconnaître l’importance des politiques
Les politiques définissent les normes de comportement requises et le rôle que chacun a pour assurer la sécurité. Il doit y avoir une gamme de politiques en place, couvrant des sujets tels que l’utilisation acceptable, les rapports d’incidents et la façon de traiter les bouffonneries d’ingénierie sociale.
Il est extrêmement important d’inclure ces politiques dans votre programme de sensibilisation et de formation à la sécurité afin que les employés sachent ce qu’ils doivent faire. Sans communiquer ces politiques aux employés dès le départ, elles seront extrêmement difficiles à appliquer.
4. Appliquer les contrôles de base
Il est important que tous les employés d’une organisation comprennent la nécessité d’une hygiène de sécurité. Une politique de bureau propre doit être appliquée et tous les postes de travail et appareils verrouillés et déconnectés lorsqu’ils ne sont pas utilisés.
Des pratiques courantes telles que l’utilisation de mots de passe forts difficiles à déchiffrer ainsi que des méthodes d’authentification plus strictes et des mises à jour rapides des contrôles de sécurité doivent être appliquées. Recherchez les besoins des utilisateurs et définissez des comportements de base pour les contrôles de sécurité de base qui doivent être en place et respectés à tout moment.
6. Fournir des appareils sécurisés
Parfois, vous découvrirez peut-être que les maillons les plus faibles sont les utilisateurs et qu’à ce titre, il vous appartiendra de les protéger contre les risques de sécurité. Les erreurs involontaires et la perte / le vol d’appareils sont des causes courantes de violation de la sécurité pouvant entraîner la perte de données sensibles.
Si un appareil est émis par une entreprise, il appartient à l’entreprise de s’assurer qu’elle dispose d’un niveau de sécurité élevé intégré à l’appareil. Les organisations doivent sensibiliser aux dangers associés aux applications mobiles et aux services de partage de fichiers, et s’assurer que des alternatives d’entreprise sont proposées qui répondent aux besoins des employés.
7. Gestion des mots de passe forts
Il est de notoriété publique qu’un mot de passe et une phrase secrète forts ne doivent pas comporter moins de sept caractères, qui doivent comprendre des caractères alphanumériques. De plus, l’utilisation de caractères uniques et d’une combinaison de lettres majuscules et minuscules peut améliorer la sécurité des mots de passe.
Vous devez éviter d’utiliser des phrases, des mots ou des choses courantes telles que des dates de naissance ou qui ont un lien personnel avec vous. Il est également important de ne pas réutiliser un mot de passe et d’exiger que les mots de passe soient modifiés tous les 90 jours.
8. La pleine conscience avec la sauvegarde de votre identité
L’identité d’entreprise d’un employé est l’élément essentiel pour protéger tous les secrets importants ou les documents hautement classifiés, les dossiers des clients, la propriété intellectuelle ou les secrets de conception. Les pirates informatiques sont connus pour faire n’importe quoi afin d’inciter les employés à voler leurs identifiants d’accès.
Cela ne devrait pas se limiter à une mise à jour régulière du mot de passe avec des caractères alphanumériques forts. Une bonne règle de base est de traiter tous les fichiers, dossiers, documents, médias sociaux, sites Web d’entreprise auxquels vous avez accès comme le ferait votre propre compte bancaire.
Partageriez-vous vos coordonnées bancaires avec quelqu’un d’autre ? Dans le même ordre d’idées, partager votre identité d’entreprise n’est jamais une bonne idée, même dans des circonstances temporaires.
Posez toujours des questions avant de divulguer des informations privées sur vous-même ou votre employeur, surtout lorsque vous pensez que les détails demandés ne sont pas nécessaires à l’objectif.
Ne divulguez jamais les détails demandés jusqu’à ce que vous ayez été informé de la façon dont les informations seraient utilisées et assuré qu’elles seraient protégées. Si vous n’êtes pas satisfait des réponses données, ne divulguez pas vos coordonnées.
C’est aussi une bonne idée de vérifier de temps en temps avec le service informatique pour voir exactement à quoi vous avez accès. Surtout si vous êtes dans l’entreprise depuis longtemps. Voulez-vous vraiment accéder aux systèmes que vous utilisiez il y a 5 ans ? Cela ne fait que créer des risques, et vous pouvez demander une liste des éléments auxquels vous pouvez toujours accéder et demander que l’accès soit supprimé.
9. Attribution de toutes les communications commerciales
L’attribution implique de connaître l’auteur d’un message. Il est important de vous entraîner à prendre l’habitude de vérifier l’auteur ou le créateur d’une communication numérique qui vous est adressée (par e-mail, SMS, réseaux sociaux, message automatisé, alerte/notification de site Web, etc.). Il est facile d’intégrer cette technique à vous-même dès que vous commencez à poser la bonne question. Avec l’e-mail, vous pouvez double-cliquer sur un nom ou passer votre souris sur le champ de et il se résoudra à l’adresse e-mail réelle. Le SPAM, les attaques de phishing et les messages de ransomware malveillants se résolvent souvent en une chaîne de caractères qui sont facilement considérés comme suspects. Si l’e-mail ne se termine pas par « companyname.com », vous êtes probablement soumis à une sorte de communication trompeuse. Il en est de même pour les URL malveillantes.
Au lieu de cliquer sur le lien pour savoir à quoi cela correspond, passez votre souris ou faites un clic droit pour voir à quoi ressemble toute la chaîne. Ces changements de comportement peuvent vraiment faire une différence au-delà de la simple mise à jour des contrôles de sécurité antivirus, de correctifs de système d’exploitation et de pare-feu.
10. Wi-Fi public et gratuit
Il est possible pour les pirates informatiques de mettre en place de faux réseaux Wi-Fi qui ressemblent au réseau local légitime pour les cafés, restaurants, hôpitaux, centres commerciaux, bibliothèques et autres lieux publics que vous visitez.
Alors que les pirates se tournent vers l’extraction de crypto-monnaie pour monétiser leur piratage, nous commençons à voir le piratage de points d’accès Wi-Fi pour installer des logiciels malveillants de crypto-mineur sur les appareils d’utilisateurs peu méfiants.
Ne présumez jamais que vos appareils sont en sécurité, même dans votre café local. Il va sans dire qu’il n’est jamais sûr d’accéder à votre lieu de travail à distance en utilisant le Wi-Fi public et gratuit sans VPN.
11. Protégez vos propos sur les réseaux sociaux
Vous devez garder à l’esprit que tout ce que vous publiez sur les réseaux sociaux est visible par n’importe qui et, en tant que tel, vous ne devez rien publier sur l’organisation sans le consentement des parties concernées.
Même si votre compte de réseau social est défini comme privé, tout ce que vous publiez peut être partagé sur Internet et ne peut pas être supprimé une fois que d’autres l’ont récupéré et partagé.
Vous devez obtenir une autorisation écrite avant de publier quoi que ce soit en ligne sur un collègue, un collègue, un client ou toute autre personne attachée à votre organisation.
12. Les plugins peuvent être des risques de sécurité
Utilisez uniquement les plugins dont vous avez besoin. Alors que les plugins peuvent faciliter la navigation, les plugins peuvent également représenter des risques de sécurité. Gardez le nombre de plugins que vous utilisez au minimum.
Désinstallez ou désactivez tous les plugins que vous n’utilisez pas et maintenez les plugins que vous utilisez souvent mis à jour pour vous protéger contre les problèmes de sécurité. Installez uniquement des plugins de sociétés réputées.
13. Utilisez le VPN fourni par l’entreprise chaque fois qu’il est disponible
Vous devez toujours utiliser le VPN lorsque vous êtes connecté au Wi-Fi public. Le logiciel VPN doit être disponible pour tous les appareils pris en charge par l’entreprise. Utilisez la fonction de partage de connexion de votre téléphone ou le service Internet cellulaire au lieu du Wi-Fi gratuit dans la mesure du possible.
N’effectuez jamais de transactions financières, y compris toute transaction nécessitant une carte de débit ou de crédit, lorsque vous utilisez des services Wi-Fi publics ou gratuits. Pensez à changer vos mots de passe après votre voyage au cas où ils auraient été compromis pendant votre voyage.