说到信息安全与风险管理,专家们总是拿人员、流程和技术三个维度来分别探讨管控措施。而人员维度要素往往是安全专业人士经常抱怨的最薄弱的一环,固然,我们不能让所有人员都成为安全专家,毕竟术业有专攻,人员“最薄弱”,根本原因何在?昆明亭长朗然科技有限公司网络安全研究员董志军表示:我认为,一方面,各种各样的人都有,人不是标准化的东西,人性是最狡猾最复杂的,不能非常精准地以量化方式进行衡量,另一方面,人的行为是“最不可预测的”,那些前一秒在嘴巴上讲的很好的,信誓旦旦的,后一秒非常可能背叛自己的诺言,这种变化来得意外突然,可以说是非常的难测。
尽管人的天性如此,通过正式的网络安全培训和意识计划,组织机构可以解决人员维度的固有问题,以最大可能改善风险管理和减少网络攻击影响。如果还没有建立相关的计划,则可以依据基本的管理套路,设定长远目标、选择战略方法、制定实施计划、持续考核衡量、不断加强改进。
对所有的行业来讲,员工们可能都不得不将计算机和互联网作为日常工作与生活的一部分,随着组织政策的转变、技术的发展以及网络安全威胁的演变,无疑,我们需要定期对员工进行网络安全培训,以应对环境及威胁格局的变化。
网络安全意识计划的长远目标应该是至少每年培训或更新员工队伍。年度培训应涵盖计算机资产的可接受使用、在线安全、数据安全和数据分类、可移动媒体(USB、可移动硬盘)、密码安全、双因素身份验证、远程工作、移动设备管理、社交媒体安全等关键主题。此外,还需要掌握如何避免网络钓鱼攻击、社会工程和勒索软件等常见威胁。
其中一些信息可能需要根据实际业务需求进行定制。例如,每家组织机构的数据分类标准可能都是独一无二的,每家组织机构的安全响应联系方式亦是如此。此外,可接受使用政策也可能因组织机构和行业特性而异。从安全的角度来看,在涵盖的重要项目中应该聚焦说对员工们的安全行为期望。
大多数此类材料都可以通过各种网络安全培训公司提供的电子学习课程和动画视频中得到。如果没有在线课程或高端定制视频的预算,则可以自己动手,从幻灯片等适度的东西开始,或者找一些的免费在线安全课程。虽然不够好,但是凑合着能用,至少是一个开端。
无论选择何种培训方式,我们都需要某种形式的培训证明。可以是包含员工提交的书面问题和答案的实际考卷、员工签署以表明他们已完成培训的表格或简单的考勤表,也可以是电子记录。培训经理或人力资源部门应保留这些年度培训记录以供合规审计之用。
上述这些安全意识培训事项是入门级的,也是最低限度的。要想推进项目向更高级别发展,需要更进一步实施更强大的意识和培训计划。如果有事件响应计划,员工们应该知道如何报告网络安全事件以及在发生可疑或恶意事件时对他们的期望。想要引起员工们的注意力,可以查看发生在行业内的其他机构的或已成为全国新闻的一些安全事件案例。他们是如何受到入侵或伤害的?人员因素的成分是什么?将如何降低这种风险?
如果安全团队已经进行了一些安全扫描、入侵侦测、渗透测试或恶意软件分析,也可以与员工们分享这些结果,以使其了解组织机构所面临的最常见威胁、正在采取的哪些安全措施。最后,也需要为员工们提供一些实用的行动指导和理由,比如指示他们如何提高在家中和工作场所的网络安全。
游戏化
为了进一步巩固学习,请考虑在网络安全意识计划中添加游戏或激励元素,可以是线下活动,也可以是线上竞技。如果人员数量众多,则可考虑购买面额为20至100块的礼品卡或纪念品,并将其提供给在测试中获得最高得分的人员,或者没有点击测试网络钓鱼邮件的人员。当然,甚至可以将员工分成小组并通过“团体赛”测试他们的知识,以使其更具娱乐性并增加知识和竞争的元素。
视频化
有很多有趣和好玩的视频,可以用于展示不遵守安全规则时可能发生情况的示例,使用动画视频,可以在一个轻松的时刻提供安全知识的传输。在笑声(或尴尬)之后,可以对该示例场景进行一个简短的讨论和总结,以分享安全知识和强调安全纪律。
总之,安全意识培训的目标是推动组织的文化变革。文化变革往往是最难实现的,因为它需要漫长的时间。通过不断地重复和改进,网络安全可以成为内部常态和行为习惯,在其成为群众的常识和惯性之后,最薄弱的环节往往能够成为最强大的安全力量。