SecureAware Awareness & Education Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i brug af Awareness- og Educationmodulerne i SecureAware. Dokumentet giver en detaljeret beskrivelse af modulerne og deres funktioner og har til formål at guide dig igennem arbejdet med at gennemføre awareness-kampagner.
Indholdsfortegnelse Awareness... 3 Forberedelse af quiz-spørgsmål... 4 Spørgsmål i videnstesten... 4 Spørgsmål i regeltesten... 6 Forberedelse af uddanelsesindhold... 8 Tilpasning af emner... 9 Tilpasning af undervisningsafsnit... 9 Redigering af indhold...10 Oprettelse af awareness-kampagner...11 Valg af elementer i awareness-programmet...13 Hvor mange spørgsmål og hvor høj beståelsesprocent?...15 Certifikater...16 Kopiér et awareness-program...17 Anonyme awareness-quizzer...18 Start et Awareness-program...19 Pauseskærm...21 Kontaktinformation...24 2
Awareness SecureAware kan anvendes til at uddanne dine slutbrugere i informationssikkerhed. Til dette formål, benyttes to typer quizzer; en videnstest og en regeltest, Du kan vælge at benytte en eller begge af disse quiz-muligheder. En videnstest er en quiz indeholdende generelle it-sikkerhedsmæssige spørgsmål, som er tiltænkt slutbrugere uden dybdegående it-sikkerhedsviden. Regeltesten tager udgangspunkt i din virksomheds informationssikkerhedspolitik og er baseret på den aktive politik i SecureAware. Med denne quiz kan du teste, hvor godt dine brugere kender din virksomheds it-sikkerhedsregler. Du kan vælge at quizze brugerne indenfor forskellige områder, såsom brug af internet, skadelige programmer m.m. Du kan også dele brugerne op i forskellige målgrupper, samt redigere, tilføje og rette spørgsmål til efter eget valg. 3
Forberedelse af quiz-spørgsmål Før du opretter et awareness-program, skal du rette de spørgsmål til, som du vil benytte i quizzen. Der er to former for quiz-spørgsmål: Spørgsmål i en videnstest bruges til at måle brugernes generelle viden inden for de forskellige emner (skadelige programmer, softwareinstallation m.m.). En regeltest (eller policytest) er opbygget omkring virksomhedens specifikke sikkerhedspolitik. Brugerne skal her benytte deres viden om de regler, der er aktuelle for jeres virksomhed. Spørgsmål i videnstesten Nogle af de spørgsmål, der omhandler generel viden om it-sikkerhed, er måske ikke relevante for dine brugere. I Spørgsmål i videnstest kan du vælge, hvilke spørgsmål, der skal medtages i quizzen, der tester generel viden. Her vil du se de emner med tilhørende spørgsmål, der kan medtages i quizzen. Hvis du ikke ændrer noget, kan alle spørgsmål, indenfor de emner du har valgt, blive medtaget i quizzen. 4
For at se de spørgsmål, der knytter sig til et emne, klikkes på, hvorefter emnet foldes ud. Det er her muligt at tilføje spørgsmål til et emne, fjerne spørgsmål, der ikke har relevans, eller tilpasse spørgsmål, så de passer til din målgruppe. For at tilpasse et spørgsmål, klikkes på det, hvorefter du får mulighed for at ændre spørgsmålene eller svarmulighederne (husk at klikke OK, når du har skrevet spørgsmålet) Du kan også ændre sværhedsgraden, vælge om det skal være muligt at krydse et eller flere svarmuligheder af, samt tilføje flere svarmuligheder Klikker du på Slet, slettes hele spørgsmålet. Du får dog en advarselsbesked først. Klik på Tilbage for at lukke spørgsmålseditoren. Ved at trykke på Retur, vender du tilbage til Awareness-manageren. 5
Spørgsmål i regeltesten Regeltesten tager udgangspunkt i jeres informationssikkerhedspolitik. Med denne quiz kan du teste, hvor godt dine brugere kender jeres it-sikkerhedsregler. For at en regel vil kunne bruges som quizspørgsmål, skal den være tilknyttet den målgruppe, som quizzen skal køre mod, samt ét af de emner, du vil quizze i. Desuden skal reglen være quizbar, dvs egnet til quiz-spørgsmål. Reglerne gennemses ved at klikke på politikstyringsikonet i øverste højre side af skærmen. Klik nu på Redigér regler og derefter på ikonet Rediger efter indholdskategori/emne:. Fold det emne ud, som du vil quizze i: Du skal nu gennemgå alle de aktive regler (alle regler, som er markeret med ). Reglen skal først og fremmest være quizbar, dvs være et godt multiple choice spørgsmål. Det betyder at: Der skal være mindst to mulige svar. Regler med kun én svarmulighed vil blive sorteret fra, og altså ikke optræde i quizzen. Der bør ikke være for mange svarmuligheder Svarmulighedernes rækkefølge må ikke være afhængige af hinanden (da rækkefølgen kan ændres i en quiz) 6
Eksempel på en ikke-quizbar regel Eksempel på en quizbar regel Når reglen er quizbar, skal du klikke på og sikre dig, at reglen har den/de rigtige målgrupper tilknyttet. 7
Forberedelse af uddanelsesindhold Ønsker du at bruge uddannelsestekster i dine awareness-programmer, kan du oprette dine egne, eller bruge SecureAwares indbyggede indhold. Dette indhold kan benyttes som det er, eller du kan rette, tilføje, slette og bytte rundt på rækkefølgen af de forskellige dele. Det kan eksempelvis være en fordel at have virksomhedsspecifikke emner i awareness-programmet. SecureAware kommer som standard med 10 emner: Skadelige programmer Adgangskoder E-mail Internet Software-installation Sikkerhedskopiering Netværk Mobilt udstyr Kryptering Sociale netværk Håndtering af hændelser Hvert emne er opdelt i et antal undervisningsafsnit. Emnet Skadelige programmer kan eksempelvis være inddelt i: Virus og orme Hoaxes Spyware og adware Trojanske heste og bagdøre Dine brugere har adgang til disse emner fra Min SecureAware i fanebladet Lær Mig!, hvor der også linkes til film, regler og procedurer indenfor emnerne. I det følgende vil du få en indførelse i, hvordan du tilretter uddannelsesteksterne til at passe til din virksomheds behov. 8
Tilpasning af emner For at kunne tilpasse emnerne i SecureAware, skal du benytte Konfigurationsstyringen, som du får adgang til, ved at klikke på i øverste højre hjørne af skærmbilledet. Klikker du nu på Emner vil du se en liste over eksisterende emner i SecureAware. Du kan her tilføje et emne ved at taste navnet på det nye emne i tekstfeltet og klikke på Tilføj. Du kan rette i navnene på emnerne ved at klikke på, og ændre på rækkefølgen ved hjælp af pilene. Vil du fjerne et emne, kan du vælge at slette den ved at klikke på idé blot at deaktivere emnet. Dette gøres ved at klikke på.. Det vil dog oftest være en bedre Når du har foretaget de ønskede ændringer, klikker du på Opdater for at gemme og afslutte. Tilpasning af undervisningsafsnit I konfigurationsstyringen klikker du på Undervisningsafsnit, for at komme til indholdssektions-administrationen. Her vælger du nu det undervisningsafsnit, du vil redigere i. 9
Her kan du, på samme måde, redigere i afsnittene eller ændre på rækkefølgen. Ønsker du at tilføje et afsnit, tastes dets navn ind i tekstfeltet, hvorefter du klikker på Tilføj. Du kan slette et afsnit ved hjælp af, og deaktivere det ved at klikke på. Husk at klikke på Opdater for at gemme ændringerne. Redigering af indhold Når du nu har oprettet strukturen i dit awareness-program, kan du nu tilføje, slette eller ændre indholdet. Ved at klikke på fanebladet Lær sikkerhed, kan du nu, i menuen til venstre, vælge det emne, du vil redigere. Du vil nu se emnets undervisningsafsnit foldet ud. Markerer du et underafsnit, vil du kunne se dennes nuværende tekst. Har du lavet et nyt undervisningsafsnit, vil der naturligvis endnu ikke være tekst tilknyttet. Klik på for at redigere og formattere teksten. Når du er færdig med redigeringen, klikker du på Opdater, for at gemme. Klikker du på Annuller, kommer du tilbage til emnet uden at gemme. 10
Oprettelse af awareness-kampagner I SecureAwares Awareness-manager kan du oprette, tilpasse, slette og på anden måde administrere dine awareness-programmer. For at få adgang til Awareness-Manager, klikker du på elpære-ikonet øverst til højre i skærmbilledet. Der er desuden en genvej til denne på Min SecureAware under fanebladet Genveje. For at komme i gang med et awareness-program, skal det først oprettes. Klik på Nyt awarenessprogram i awareness-manageren. 11
Du vil nu se følgende skærmbillede: Når du har indtastet navn på dit awareness-program, skal du skrive en introduktionstekst. Dette er den første side i awareness-programmet, som evt beskriver, hvilke emner, der bliver quizzet i, hvor mange spørgsmål quizzen indeholder eller om der evt er præmier til den eller de, der har den højeste beståelsesprocent. Herefter skal du vælge, hvilke emner du vil teste brugerne i. Dette gør du ved, ud for Emne, at vælge det ønskede emne i rullemenuen og derefter klikke på Tilføj. Du kan herefter tilvælge flere emner. For at vælge hvilken målgruppe programmet skal rettes mod, vælger du fra rullemenuen ud for Målgruppe og klikker herefter på Tilføj. Her kan du også vælge flere målgrupper. Til slut vælger du, hvor mange forsøg brugerne skal have til at bestå testen og klikker igen på Tilføj. Du kan slette valgte emner igen, ved at klikke på. Herefter klikker du på Opret for at gemme awareness-programmet, eller på Annuller for at vende tilbage til Awareness-manageren uden at gemme. Awareness-programmet er nu, i princippet, klar til brug. Det vil dog oftest være en god idé at tilpasse programmerne først. Hvis de forskellige 12
målgrupper skal testes i forskellige emner, eller have forskellige antal forsøg til at bestå, skal du oprette et awareness-program for hver målgruppe. Har du oprettet flere awareness-programmer, skal du klikke på programmet, for at få lov at redigere i det. Det program, du er i gang med at redigere, vil være markeret med grønt, hvilket indikerer, at programmet er i redigeringstilstand. Du kan nu gå videre med at tilpasse dit program. Valg af elementer i awareness-programmet For at vælge hvilke elementer, der skal medtages i awareness-programmet, klikker du på Elementer i awareness-manageren. Herefter kan du se standard-opsætningen af awareness-programmet vist som et flowdiagram. Der findes ingen formelle regler for, hvordan et awareness-program skal eller bør opbygges. Imidlertid kan det være en god idé at starte med det fulde program for at danne sig et overblik over brugernes viden og for at gøre brugerne fortrolige med at blive quizzet på denne måde. Når du, på et senere tidspunkt, igen skal køre en awareness-kampagne, kan du så tage stilling til, hvilke moduler der er vigtige at medtage og hvilke der kan fravælges. 13
Du kan få forklaret formålet med hvert delelement i programmet ved at klikke på modulerne. Her kan du ligeledes fravælge et modul. De eneste moduler, der ikke kan fravælges, er Introduction og Result. Fravælger du et modul ved at klikke på Ikke aktiv vil det herefter vises som lysegråt i flowdiagrammet. Husk herefter at klikke på Opdater. Knowledge Test er en lille indledende test, som bruges til at måle brugernes generelle viden inden for de forskellige emner (skadelige programmer, softwareinstallation m.m.), inden awarenessprogrammet starter. Quick Knowledge er en række små film, der vises for brugeren, hvis Knowledge testen ikke blev bestået. Detailed Knowledge giver uddybende viden om de forskellige emner, og fungerer som et supplement til filmene. Knowledge Test tester igen brugerne i de emenr, som ikke blev bestået i den første test, og måler den viden, brugerne har tilegnet sig igennem uddannelsesforløbet. 14
Policy testen er opbygget omkring virksomhedens specifikke sikkerhedspolitik. Brugerne skal her benytte deres viden om de regler, der er aktuelle for jeres virksomhed. Når du har valgt, hvilke moduler, der skal medtages i dit awareness-program, klikkes på Retur, hvorefter du vender tilbage til Awareness-manageren. Hvor mange spørgsmål og hvor høj beståelsesprocent? For at tilpasse quizzerne til dine målgrupper, klikker du på blyanten ud for den ønskede quiz. Du kan her tilpasse, hvor mange spørgsmål quizzerne skal indeholde (Antal), naturligvis med det maksimum antal spørgsmål, der hører til hvert emne (Antal spørgsmål i alt). Vælger du eksempelvis 5 spørgsmål indenfor emnet Skadelige programmer, vil den enkelte bruger i målgruppen blive præsenteret for 5 tilfældigt valgte spørgsmål indenfor dette emne. Den enkelte bruger vil ikke (nødvendigvis) skulle besvare de samme spørgsmål som andre brugere i målgruppen. Du kan også vælge, hvor mange procent af spørgsmålene, der skal besvares rigtigt for at bestå quizzen (Pass %). Du kan, på samme måde, redigere quizzen i din virksomheds sikkerhedspolitik. Husk at klikke på Opdater, for at gemme dine ændringer. 15
Certifikater Ønsker du at dine brugere skal have mulighed for at få udskrevet et certifikat, når de har bestået quizzen, skal du klikke på Certifikat under Quizzens navn. Du kan her designe certifikatet. Du kan også vælge certifikater fra, ved at Klikke på blyanten ud for Anvend certifikat. Har din virksomhed sit eget brevpapir, kan dette uploades som baggrund. Brevpapiret skal være en pdf på én side, og du skal klikke på blyanten ud for Baggrund for at uploade det. 16
Kopiér et awareness-program Har du allerede lavet et awareness-program, kan du genbruge det, ved at rette det mod en ny målgruppe. Det gør du ved at klikke på Start med ny målgruppe i awareness-manageren. Dette vil altså ikke ændre i et allerede oprettet awareness-program, men blot den nye (eller samme) målgruppe. Ønsker du at ændre i et programs opsætning, klikker du til gengæld på Indstillinger i awarenessmanageren. Herefter vil det være muligt at ændre eller tilføje emner og antallet af forsøg, den enkelte målgruppe tildeles. 17
Anonyme awareness-quizzer Det er muligt at anonymisere sine quizzer i SecureAware. Dette kræver, at du får en licensnøgle der gør, at brugerne skjules, således at du kun kan se resultaterne af quizzen, men ikke hvem de tilhører. Kontakt Neupart (kontaktinformation på sidste side) hvis du ønsker dette. 18
Start et Awareness-program Når du har oprettet dit awareness-program, startes det ved at klikke på i awareness-manageren. De brugere, der er medlem af målgruppen, vil nu blive præsenteret for quizzen. Du kan løbende følge med i, hvem der har besvaret quizzerne og hvordan de har klaret sig, ved at klikke på. Med denne funktion kan du også se det endelige resultat, når alle brugerne har besvaret quizzerne. Du kan, på Min SecureAwares (startsiden) følge med I, hvor mange af dine brugere, der har gennemført quizzen. Klik på mail-ikonet for at sende besked til brugerne. Du kan vælge om du vil skrive til alle brugere (i quizzens målgruppe) eller kun rykke dem, der endnu ikke har taget quizzen. Du kan også vælge at sende mail til dem, der har taget quizzen, evt. for at give besked om resultater. Når brugerne har gennemgået awareness-programmet (eller nårsomhelst du ønsker det) kan quizzen stoppes ved at klikke på. Det endelige resultat vises herefter, når du klikker på resultater, samt det samlede resultat for alle brugerne.. Her kan du både se brugernes individuelle 19
Du kan udskrive en rapport på awareness-programmets resultater ved at klikke på i awarenessmanageren. Rapporten vil dog vise status på alle dine oprettede programmer. Her kan du også slette programmer ved at klikke på. 20
Pauseskærm Som et supplement til awareness-kampagner, kan du vælge at aktivere pauseskærmsprogrammet. Dine brugere vil, med dette program, blive præsenteret for uddrag af jeres it-sikkerhedspolitik, når skærmen går i pausetilstand. For at vælge hvilke emner brugerne skal præsenteres for, færdig, klikkes på Opret. klikker du på Pauseskærm i awareness-manageren. I rullemenuen vælger du nu et emne og klikker på Tilføj. Du kan vælge flere emner i samme pauseskærmsprogram. Når du er På samme måde som med Awarenessprogrammet, kan pauseskærmen nu aktiveres ved at klikke på i awareness-manageren, hvorefter dato for start vil vises. Logoskærmen Mellem to sekvenser af regler vil pauseskærmen vise SecureAwarelogoet, mens den bygger en ny sekvens af regler ud fra de sidste data, der er modtaget fra serveren. Hvis logoskærmen bliver ved med at køre, vil dette være fordi der ikke kan opnås forbindelse med 21
serveren. Det er her nødvendigt at checke forbindelsens opsætningen. Installationsvejledning SecureAwares pauseskærmsprogram består af én fil med navnet sasaver.scr. Dette er et windowsprogram specielt til pauseskærme. For at installere pauseskærmen skal denne fil kopieres til Windows-folderen. Herefter kan den vælges i skærmopsætningen (Display properties), hvor du også kan konfigurere netværksforbindelsen til SecureAware-serveren. Pauseskærmsindstillinger I Windows kan du finde pauseskæmsindstillingerne via kontrolpanelet. Når SecureAware-pauseskærmen er valgt, klikkes på knappen indstillinger (settings), hvorefter kommunikationen med SecureAware-serveren og den TCP/IP-port, som serveren anvender, kan konfigureres. Brugernavnet anvendes til filtreting på målgruppe og valg af sprog, og vil normalt være det brugernavn, der anvendes i Windows. Du kan også vælge, om du vil se statusinformation om kommunikationen mellem klienten og serveren (Show webaccess status). Konfiguration og distribution Pauseskærmens opsætning gemmes i en standard Windows.ini-fil i Windows-folderen. Hvis denne ikke eksisterer, vil den automatisk blive oprettet med standardindstillinger, når pauseskærmen aktiveres. Filen kan redigeres efter behov med en simpel teksteditor som eksempelvis Windows notepad. Ini-filen indeholder to dele: en server- og en cache-del. Cache-delen benyttes til at lagre de data, der sidst er hentet fra SecureAware-serveren. Dette gør det muligt at se pauseskærmen, når brugeren er offline og ikke tilkoblet virksomhedens netværk. Server-delen indeholder dels opsætningen fra pauseskærmsindstillingen, dels specielle opsætninger til avanceret brug. Her er et eksempel: [server] address=secureaware.company.sample 22
showstatus=0 port=80 user=xxx secondsdelay=25 address: Dette felt indeholder host-navnet på SecureAware-serveren. Navnet kan være et gyldigt DNS-navn eller en IP-adresse. showstatus: Dette er en debug-funktion, som viser kommunikationsinformation i det øverste højre hjørne af skærmen ( 0 = deaktiveret, 1 = aktiveret ). port: Den benyttede TCP-port. Som standard er dette port 8080. Hvis Internet Information Server benyttes, er det port 80. user: Brugernavnet, som sendes til SecureAware, for at informationer kan vises på det korrekte sprog. secondsdelay: Angiver hvor mange sekunder en regel vises på skærmen. Når de nødvendige opsætninger er konfigureret og øvrige oplysninger fjernet fra filen, vil pauseskærmen selv udfylde det manglende. Hvis en fil eksepelvis indeholder følgende: [server] address=secureaware.company.sample port=80 secondsdelay=25 vil pauseskærmsprogrammet benytte denne opsætning og automatisk indsætte de manglende felter, eksempelvis brugernavn eller virksomhedsspecifikke oplysninger. For at distribuere pauseskærmen, skal den tilrettede ini-fil samt pauseskærmsfilen kopieres til klientens Windows-folder. Pauseskærmen gemmer ikke data eller konfiguration uden for ini-filen, hvilket gør det lettere at distribuere og konfigurere pauseskæmen med Windows administrationsprogrammer. Da der, som standard, anvendes http-forbindelse, er det muligt at anvende pauseskærmen eksternt via internettet eller over VPN. 23
Kontaktinformation - For yderligere information, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Nordamerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tel. 360-820-2545 Fax 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Germany: Tel. +49 (0) 2102/4209-26 Fax +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet SecureAware er varemærker, som tilhører Neupart A/S. Dokumentet leveres som det er og foreligger uden nogen form for garant. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Der gives ingen garantier for opnåelsen af resultater ved brug af denne dokumentation. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 24