安全意识培训很重要,因为其可以保护组织机构的信息系统免受可能导致数据泄露的网络攻击。全球百强领先组织关于数据丢失成本的最新报告显示,每次事件的平均损失为数百万元。一项研究还证明,针对组织的攻击数量持续增长,发生的事件中有95%通常是人为错误造成的。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人为因素,包括缺乏必要的安全意识、在信息安全工作方面粗心大意、甚至有意躲避既有的安全控管措施等等,是导致品牌声誉损失和财务损失的关键要素。当下,各类型组织机构在信息安全方面的主要工作重点已经不再是部署和实施新的技术类管控系统,而是通过修复“人性的弱点”来防止网络安全攻击事件,进而保护组织的信息安全。
保护组织的信息成为最重要的优先事项,组织可以对员工进行持续的意识和教育,以使其可以识别组织中的威胁和风险,进而来消除、缓解、和降低可能的危害,从而获得成功和成长。
随着如网络安全法、数据安全法、个人信息保护法等多部安全法规的颁布和实施,强制性的、基于合规性的安全意识培训成为政企行业的一种流行性时尚活动。国家层面每年坚持搞针对全民的网络安全宣传周活动,尤其在防范电信诈骗和营造清朗网络空间方面,获得了可喜的成绩。然而对于政企机构来讲,这些活动往往主题过于宏大,针对性和适用性不够,并不能保证员工们能免有效地识别和报告例如网络钓鱼攻击等针对政企机构的网络威胁和风险。当然,在宏大的网络安全背景环境下,员工们也很难将组织机构的网络和数据安全视为个人责任。
简言之,如果我们的培训目标是让员工们能够保护工作单位及自身的信息安全,以使其识别、避免和报告组织所面临的安全威胁,这就需要一个在组织范围内的安全意识和培训计划,通过教导员工们如何识别攻击并采用安全最佳实践,进而将安全融入到组织文化之中。通常来讲,对于超大型组织机构来讲,专门的安全意识从业者有时间、预算和资源来构建和执行多重立体的安全意识活动。然而对于规模一般的机构来讲,安全意识只是信息安全部门的众多职责之一,那么安全管理者通常并没有足够的时间构建自己的安全意识计划,那要怎么办?
一、从高层开始,成功的宣导计划总是始于高层领导的支持、表率和倡导。没有高层的支持,安全意识计划将成为一个空壳一纸空文,对不良行为者来讲,不用承担任何责任或后果。高管们通常能够认识到网络防御的必要性,但是却不知道需要做什么、以及如何实施。在这种情况下,通常高级IT领导者必须“向上管理”,以确保有适当的资金和资源来确保组织的业务目标。安全通常被视为合规问题,而不是真正的业务功能。如果将安全嵌入到业务职能,则会获得高管们大力支持、表率和倡导。
二、评估员工们的网络行为,了解员工如何感知、识别、响应和报告恶意活动至关重要,即使是错误的点击也可能为数据盗窃提供空间,或为重大的网络犯罪提供跳板。就像齐心协力实现组织的目标一样,从最高管理层到新员工,每个人都在保护组织免受潜在的网络攻击方面发挥着重要作用。要让所有员工尽自己的一份力量来帮助确保彼此的上网安全,发现最薄弱的环节最为重要。评估的方法有很多,工作场所现场调查专访、桌面安全巡逻检查、在线安全知识考核、甚至模拟网络钓鱼等等,都是可以定期使用的。
三、采用正确的培训方法,考虑到员工敬业度,仅公开播放的视频内容或讲师面对面指导培训可能并非最佳的选择。基于游戏的学习和基于模拟的学习可能是更为有效的培训方式,此外,在线学习和微学习形式在周期性的知识强化中也发挥着关键作用。对于新员工,从一开始就建立安全文化非常重要。将网络安全培训纳入新员工入职流程的一部分,甚至直接针对新员工运行模拟网络钓鱼测试,是新员工入职安全意识培训的最佳实践开始。安全意识培训对新员工至关重要,因为黑客可能会监视各类社交媒体或其他在线状态以寻找容易攻击的目标,因此网络钓鱼模拟应该成为新员工培训和持续的员工安全意识培训计划的一部分。动动嘴皮或者发布一些文件,吸引全体员工的注意力并激励员工们将安全视为个人责任似乎很容易,但是要真正做到这一点却要困难得多。只有让员工们认识到,保护其自身的账户安全对于组织整体的安全密切相关,他们才会采取积极有效的行动。
四、使用有政企针对性的知识内容,教育培训人员的工作是吸引受众的注意力,促进员工们对信息安全工作的参与,并最终激发受众采取某种安全行动。要做到这一点,需要有引人入胜的安全意识主题,并在多个沟通渠道中传递一致的信息。保持娱乐性,传递清晰、一致的信息,并通过员工们最常使用的沟通渠道。安全专业人员可以采用这些基本的原则,将原本例行公事且容易被忽视的安全培训计划转变为员工真正想要参与的活动。对于社会人来讲,政企行业不必要重复针对个人的电信诈骗宣传,而是专注于与业务密切相关的信息安全领域,包括如下几个主要课题。
- 物理安全,这个课题包括从物理层面进入单位的内部工作区域、正确佩戴工牌、安全地接待访客、离开时锁定单位派发的移动计算设备、及时擦除会议室白板内容、在外时确保笔记本电脑在视线范围内等等所有内容。
- 密码安全,没有理由将“密码”一词或其它的脆弱密码用作工作密码。需强调密码的长度应至少为八个字符,包括大小写字母、数字和至少一个唯一字符。还需提醒员工们避免错误,例如将密码写在便利贴上并将其贴在计算机上。
- 反网络钓鱼策略,员工们需要对来自无法识别来源的电子邮件持怀疑态度。诈骗分子乐于使用网络钓鱼邮件获取系统访问权限并给组织造成严重破坏,因此必须对员工们进行有关可疑链接、附件和不可信来源等方面的教育。
- 社会工程学防范,提高全员的危险意识至关重要,例如试图操纵员工授予系统访问权限或泄露机密信息的来电和交谈。员工们必须学会识别社会工程学手法,学会鉴别对方的身份,并且在披露信息前,检查双方的权限。
五、倾听意见并持续改进,记住:负责网络安全的不只是IT人员,而是组织机构中的所有人员!要获得员工们的理解和支持,需要我们定期与员工展开对话,听取他们对安全培训活动的意见,包括哪些措施有效、哪些无效。安全意识活动属于没有终点的持续教育,人们可能会遗忘,新的安全威胁也会不断出现,安全意识需要不断刷新,工作中出现的问题需要得到纠正和改进,绩效也需不断提升。通过循环地启动、管理和衡量安全意识计划活动,我们可以不断获得更大的成功。
总之,组织机构中所有人员都是网络犯罪分子的目标,要修复人性的弱点,需要我们从员工入职的第一天开始就开始对其进行安全意识培训,许多组织依靠专门的安全意识从业者来不断开展有效的安全意识活动,旨在超越单纯的合规驱动因素,而是将安全融入组织文化。
话说回来,社会分工越来越细,专注于核心并实现量产(规模化)是关键的生存和成功要素。那么,如同安全意识教育一样,很多工作并不需要自己动手,在战略选择方面,可以考虑采取外包或对外采购的方式。昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容,包括动画视频、平面图片和电子课件资源,涵盖各种主题,包括场所安全、信息分级与保护、网络钓鱼及诈骗防范、密码最佳实践、双因素身份验证、社会工程学、远程工作和物联网安全等等。在形式方面,我们将与您和贵司合作,创建一个量身定制的安全、保密与合规培训计划,不仅满足贵司的安全意识目标,还可以通过让员工们参与在线电子学习培训,节省预算和时间。我们的在线培训课程模块以用户友好的科普语言呈现,课程长短可在45分钟、60分钟、90分钟、或120分钟。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验在线学习平台以及洽谈采购合作。