随着关于安全入侵和数据泄露事故的报告越来越频繁,组织机构需要努力避免其员工、客户和供应商的个人和财务信息的丢失和滥用,同时还要保护知识产权和业务连续性所需的所有信息。而要识别关键信息资产、了解风险环境、创建保护策略和缓解计划来保护信息资产,都离不开人员这一关键要素。要使这些保护策略取得成功,必须在组织机构内培养高度的网络安全意识,并同时融入强大的安全文化。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:组织机构需要将安全意识培训纳入到网络安全防御工作的重要部分。为了制定和维持强大的安全意识计划,还必须采取关键步骤,包括评估当前的意识计划、不断优化培训内容,以使其安全意识日益成熟。
在谈论网络安全时,人员、流程和技术都以重要的方式为组织机构中的信息安全平衡做出了贡献。 员工们被认为是一家组织机构的最薄弱环节,同时也是第一道防线。为了应对这种内在冲突,所有员工都必须了解他们的网络安全角色和责任。调查报告显示,67%的泄露源自身份盗窃、人为错误、网络钓鱼和邮件泄露等社交攻击。要防范这些基于“人性弱点”的泄露事件,仅仅依靠流程和技术管控措施显然不够,更重要的是修复“人性的弱点”,组织需要采用成熟的人员安全意识计划,包括不断优化安全文化。
安全文化意味着网络安全意识应该成为日常业务的一部分,安全必须适用于组织中的每个人。如果某些类别的员工,尤其是管理层,不适用网络安全规则,网络安全计划可能会很快受到破坏。建立安全意识和安全文化的目标就是让人们采用有助于建立网络安全的信念、态度和行为。调查表明:推广这种类型的安全文化有助于保持员工对保护关键信息资产的兴趣和投入。
同时,意识是对存在某事或某种情况以及如何感知该事物或情况的理解。在提高员工的网络安全意识时,管理层必须了解95%的网络安全漏洞是由于人为错误造成的。网络安全意识的一个目标是通过意识和教育来减少这些类型的漏洞。如同修复软件漏洞的重要性一样,针对全体员工的安全意识和教育是网络安全投资可以减少漏洞的领域。因此,管理层应将网络安全意识和培训作为网络安全计划的重点工作。
让员工们了解他们是网络犯罪分子的攻击目标非常重要。只有这样,员工们才能了解他们的角色和责任,以减少风险暴露。有的员工们抱怨说网络安全不应是他们工作的一部分,这种态度比较普遍。要消除这些错误的态度,必须改变员工们对网络安全的信念。因此,我们必须改变员工对网络安全的态度。只有态度改变了,认知正确了,人们才会采用必需的网络安全行为。我们需要让员工们相信,在网络安全方面,每个人都有责任,并且每个人都可以从将网络安全最佳实践融入他们的工作中并从中受益。
要帮助员工们了解他们的网络安全角色和职责,进而帮助他们在工作中遇到网络安全事件时消除不确定性,组织机构应通过审查与安全意识相关的当前政策和程序来评估其安全意识计划。评估项目包括培训、测验、海报、模拟网络钓鱼练习和年度安全意识测试。评估的一个重要部分是确定用户访问恶意网站或将可移动媒体连接到公司计算设备上将恶意软件引入环境的次数。用户是否通知了IT,还是通过检测技术控制发现了恶意软件?此外,进行员工安全意识调查以确定员工对信息安全的看法至关重要。调查结果可以深入了解所有部门员工的安全意识。此外,该调查应有助于发现部门或用户群中对安全问题知之甚少的情况。
因此,培养网络安全意识的第三个目标是培养员工对网络安全重要性的积极信念和态度。他们还应该了解如何从参与其网络安全角色和职责中受益。培训是安全意识计划的一个组成部分。在处理员工培训时,组织应采取基于风险的方法。由于业务职能或缺乏教育而对网络安全构成较高风险的员工应更频繁地接受培训。例如,大量网络钓鱼诈骗涉及向人力资源部门的员工发送带有虚假简历附件的电子邮件,所谓的“简历”实际上是勒索软件。通过其业务职能,人力资源员工被视为高风险部门的成员,应接受超出常规的额外培训。识别用户或部门之间的风险级别将有助于确定安全意识培训计划的重点。高风险用户或部门应更频繁地接受培训。
为照顾到各种类型的学习者,将多种类型的学习方式纳入安全意识培训计划是有效的方法。例如,一些用户可能更喜欢通过游戏或社交媒体帖子进行个性化、非正式的学习,但是其他用户可能更喜欢传统的课堂环境或电子学习。在开发或改进安全意识培训计划时,组织应专注于提供以实质性方式与最终用户联系的计划。培训需要互动、有趣和令人难忘。在内容方面,网络安全意识计划必须以了解其关键信息资产是什么、这些资产面临的威胁环境以及如何为这些资产制定保护策略为基础。网络安全意识计划应该利用这些信息来创造网络安全知识,塑造对安全的信念和态度,并引导员工采取支持网络安全的行为。互动的目的是为了激励学员们,并让他们了解他们如何从整个组织内改进的网络安全中受益。
越来越多的组织正在从经典的幻灯片和讨论视频转向使用电子学习或游戏化进行培训。游戏利用了激励我们的内在生理反应,因此可以成为电子学习的完美媒介。实践证明:具有内置安全性的游戏可以使培训变得有趣。如果游戏化看起来可能是一种富有成效的方法,那么应该看一看是什么激励了特定的用户群体。一些用户不喜欢甚至不会玩游戏,另一些用户可能会被特定类型的游戏所吸引。
有效的培训计划使用不同的媒介,例如电子邮件、社交媒体帖子或视频。使用各种媒介的最终目标是将信息传递给用户。电子邮件可以个性化,并且来自用户的区域安全意识倡导者或大使,而不是通用的安全邮箱。变革推动者可以发布在社交媒体或留言板上。安全意识视频可以使用幽默、相关内容和管理层支持。除了课堂培训和电子学习之外,员工还应收到每周或每月的通讯或电子邮件,提醒他们注意信息安全风险。信息应该简单明了,使用员工们能够理解的用语,不要太专业化、学究化,更不要绕来绕去浪费员工们的宝贵时间猜谜语。
在进行正式培训后,员工测试应以课堂考试或在线测验的形式进行。更有效的测试包括针对每个拥有电子邮箱的员工进行每月或每季度的网络钓鱼模拟测试。模拟网络钓鱼练习的目标是进一步教育员工。这种类型的测试可以为组织提供一个基线,以更好地了解员工们所采用的策略类型、哪些部门的失败率很高,以及哪些用户群不仅通过了模拟,而且还向IT部门适当地报告了网络钓鱼邮件。当然,有些测试系统能够与电子学习系统联动,允许组织对那些在模拟网络钓鱼练习中不断失败的用户实施纠正措施。
除了模拟网络钓鱼练习外,组织还应进行年度社会工程渗透测试。如果员工单击了恶意链接、打开恶意文档或未正确验证访问者的身份,这些测试可以帮助确定攻击者可以在多大程度上访问关键数据。渗透测试还测试组织的技术控制在威胁到达最终用户之前识别和阻止威胁的能力。
切记,改变组织的文化通常始于意识,并通过教育建立。员工们需要感受到安全流程的要求,了解并支持信息安全的重要性。持续性的安全意识教育是组织可以将变革推动者纳入信息安全意识教育计划的地方。
总之,经历安全事件或数据泄露后果的组织机构通常会进行入职安全意识培训和年度安全意识培训,以解决安全、保密与合规要求。 有的甚至更进一步,每年进行一次网络钓鱼和社会工程测试,以评估培训的成果。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。