在大多数组织中,网络安全意识培训被视为年度活动。比如在一年中的某个时候,可能是在9月的网络安全宣传周期间,员工被迫观看网络安全视频,然后参加考试,并完成他们的网络安全年度培训任务。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:年度安全意识培训必不可少,但是并不足够。在新员工的入职培训中,应该包括网络安全意识,这样才能确保年轻员工遵守公司信息安全、个人隐私保护、商业秘密保护以及知识产权保护等政策,这些政策的宣导,对于雇主们来说可能具有挑战性。
年轻一代是数字原生代,自从他们出生,便一直都离不开手机和互联网。因此他们对信息技术的粘性很强,使用在线电子学习更适合他们。市场上有一些在线版的讲座,如果讲师的知识水平高,演讲技巧把握的好,且视频质量录制的好,那么学员们还看得下去,如果达不到上面这些基本的要求,这种讲座真心没有多少人观看得下去。其培训效果也很差,可以说基本上不起什么作用。如同召开大会一样,无聊冗长的念稿、平淡无奇的说教、过量无关的信息……很难使网络安全意识培训有效,因为无法让观众参与进来。
责任、信任、沟通和合作被认为是引人入胜的安全文化的四大基石。使用激励和授权员工在安全方面发挥积极作用的方法对于实现意识和积极行为很重要。了解了这些基本,就能避免跳坑,进而发现并采纳更为积极有效的信息安全意识方法。安全意识培训工作可急可缓,我们建议如果在初期,就及时对全体员工进行网络安全培训,因为网络攻击随时可能发生,如果未能及时修复人员方面的漏洞,谁都可能一不小心捅破天,酿制出一些安全事件甚至给公司招致严重后果。系统需要及时安装安全更新,以修复漏洞,人员也是如此,知识和态度方面的不足,也都是漏洞,需要得到及时的修复,否则就容易被网络不法分子利用。利用社会工程学欺诈手段,盗取员工们的系统登录凭证(账号及密码)、诱使核心员工提供内部敏感甚至机密信息、甚至向外转账汇款等事件频频发生,值得我们警惕。
欧盟倡议在信息安全意识培训方面使用计划和评估、执行和管理、评估和调整的三阶段方法,这与戴明博士的PDCA循环方法颇为相似。没错,安全意识输出应根据员工的组织环境量身定制,持续解决特定的安全需求以加强意识,并最终将安全实践嵌入安全意识文化的日常工作中。这包括考虑资源、预算、项目团队、计划材料、定义目标和目的、计划实施、有效性评估的多个子步骤,并考虑更新,以准备好在需要时开始下一个周期。
在入职期间提高网络安全意识可确保您的员工之间没有明显的薄弱环节。这也是向员工传达网络安全是共同和持续责任的一种方式。因为新员工们通常很焦虑,但是仍在努力适应新的工作环境,网络安全通常并不是他们主要关心的问题,这意味着他们还没有搞清楚公司面临着的安全威胁情况,所以他们可能对密码或物理安全等问题粗心大意,也更容易被冒充者糊弄,进而成为社会工程攻击的受害者。
如同欧盟倡议的方法,也可以使用生命周期方法设计、开发、实施和维护信息安全意识的综合性框架,以解决信息安全方面的人员风险。首先将进行需求评估,确定业务需求、风险、资源、地理、角色、责任、预算和其他项目相关依赖项。在实施之后,使用手动和自动监控和跟踪的反馈机制有助于衡量计划的有效性。此外,应考虑新的方法、政策、程序和技术并将其纳入信息安全意识计划的修订中,以确保其保持有效和最新。
员工应该了解所有常见类型的威胁,无论他们在公司中的职位如何,从负责网络安全、物理安全方面的人员开始,所有使用计算设备的人员都应该了解基本的密码安全和安全的互联网浏览习惯。此外,识别可疑链接和网络钓鱼尝试也很重要,因为后者的数量在近年来,增加趋势显著。因此,安全意识不能局限于IT领域,在居家办公和移动工作盛行的时代,其范围应该有更大的突破。入职培训也是推广超出公司范围的网络安全实践的最佳时机,员工们应该意识到在线安全是一个基本问题,通过提示他们一些常规的安全技巧,可以帮助他们保护自己的数据和设备。
其他类似的生命周期方法包括安全文化框架、安全意识周期以及品牌营销活动。安全文化框架提供了一种提升安全意识的通用方法。旨在设定组织目标和措施,让合适的人参与项目周期,了解受众并建立信任,选择相关活动和主题,然后计划、执行、衡量和修订计划。安全意识周期建立基线指标,确定相关受众、期望行为和高风险,以及促进行为改变以降低风险的解决方案。意识计划也可以作为一种品牌营销活动,将信息安全作为一种产品推广给员工。该方法结合”新闻调查“和”焦点访谈“等栏目设计理念,以了解所需的设计内容和背景,并在相关安全指标的支持下增加了品牌处理情感、价值观、印象和期望的元素。然而,这林林总总的方法和框架都有类似的步骤,各有长短,很难说孰优孰劣。
意识内容和通信可能涵盖适用于业务需求和可用资源的一系列交付方法和主题。这应该包括易用性、可扩展性、交互性和问责制,持续改进是主要目标。应针对适用于职能的相关角色、行为和所需技能组合开发意识材料。随着越来越多的千禧一代加入劳动力队伍,他们对待安全和隐私的方式与年长的同事不同。安全意识培训计划应该考虑了受训者的年龄,老一代人看看手册和文本、听听广播就可以;而这些对于新一代人通常就不行,新世代是伴随着多媒体信息技术成长起来的,他们需要更好玩儿的方式。这两代人对于可以接受的共享和风险有着截然不同的看法,对于可以接受的沟通方式方法也有截然不同的态度。
研究强烈支持安全意识需要互动这样一种观点,即讲座不是有效的教育方式,即使它们是通过技术提供的。为了让学习不那么乏味,我们需要让安全意识活动具有互动性。将参与者转变为积极的倾听者是使培训更具互动性的一种方式。可以通过分解内容并加入提问或让参与者完成学习活动来吸引参与者。游戏化在保持学习者参与度方面非常有效,而且互动式游戏会使人们更有可能记住所学的内容。此外,另一种在帮助学习者保留信息方面极其有效的策略是使用模拟训练,比如模拟钓鱼、社工电话等等,让人们亲身体验所涵盖的材料。
还有一种方法使用持续的生命周期进行意识交流,避免无效的重复性一般建议,并根据业务需求和行为量身定制。沟通方法可以包括参与式方法,例如游戏、测验、短视频剪辑或作为团队会议一部分的简短主题简介,其中可能包含对积极行为的奖励或认可。其他方法包括面对面的培训课程、邮件快讯、讲座、指南、小册子、海报和意识培训研讨会。
如同强制宣传消防安全一样,信息安全意识也需要对所有人强制执行,本着同样的精神,我们需要以与对待合规性相同的严肃态度对待网络安全,使其成为每个人的首要任务和强制性要求。要知道,在安全方面让用户保持参与并保持警觉是一项挑战,业界一直在努力消除阻碍员工接受培训和提高认识的所有障碍。每个组织都有其自身独特的挑战,定制化的内容和平台技术服务非常适合有独特需求的组织,并且可以适应组织可能需要的任何沟通方式。
注意,要避免大而空的泛泛之谈。在网络安全意识培训中,经常会看到诸如“保护我们的信息安全”或“防止入侵”之类的内容说辞。这些“无比正确”却又“虚头巴脑”的内容对最终用户来说意义不大,因为大多数人不会意识到他们就是攻击者的目标。还有一些问题是认为安全意识培训必须持续很长时间才能有效,并且课程越长越有价值。这是对培训最大的误解之一,知识体系可能有很多的信息或细节,但是不要指望一口吃个胖子。研究表明,一个人安静下来后,通常只有10到20分钟的最佳注意力。在那之后,信息的保留会开始减少并且失去焦点。如果网络安全意识培训是那些需要40分钟到一个小时才能完成的马拉松课程,那么很可能他们在进入到重要材料部门之前就已经退出学习了。相反,在更短、更集中的培训课程中提供内容、涵盖个别主题而不是一般安全性,那么参与者不仅会记住更多,而且能够更快地完成学习并且恢复到满血的工作状态。短小精悍的内容可以包括交互式学习模块、视频、动画、游戏、海报、提示单和其他可下载项目。
毫无疑问,当今的网络罪犯对公司、组织和政府构成了威胁,对组织的严重威胁源于缺乏足够的防御和不了解网络安全原则和最佳实践的员工。网络犯罪代价高昂,安全意识活动可能需要额外的预算,包括项目制作和维护中的直接和间接成本,强烈建议使用电子学习可以降低分发成本。电子学习系统中的在线工具还可以实现更好的用户交互,例如在线论坛、新闻栏目、警报和调查。虽然这些在线工具功能通常没有多少使用,但是如果能通过适当的最新内容进行维护,则可以带来巨大的回报。做一件事情并不难,难在坚持,坚持下来,量变引起质变,才是安全文化养成的关键。安全应该自上而下,并且应该是业务运营的一个组成部分。安全意识工作需要团队的长期努力,没有办法可以绕过,也没有什么捷径。
前面我们提到每年一次的漫长讲座视频效果可能并不理想,不管如何,大多数组织将网络安全意识培训视为年度活动。我们更建议更频繁地展开短而小的训练课程,将宏大的培训内容分成更小、更短、更具体的课程,可以让培训人员轻松地在全年开展意识培训。这不仅有助于让学习者专注于内容,而且还向组织中的所有人表明安全很重要,因为安全是全员的首要任务。IT安全人员可能是承担繁重的工作,从高阶总裁、中层经理到普通职员,所有人都需要参与其中。拥有完善的网络安全战略以及与之配套的网络安全培训和意识计划,是现代企业安全的关键。如果没有有效的网络安全培训计划,员工们就无法帮助保护组织机构免受网络威胁。
让人们对网络安全意识培训感到兴奋是一项永久性的挑战,在日常喧嚣的生活中,相关的话题也经常会进入员工们的视野。然而,如果真的希望确保同事们理解信息安全概念和过程,我们需要尽一切努力确保让所有人都参与其中。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的学习模块、动画视频、互动游戏、海报图文和时事通讯,通过组合我们的培训资源,我们能够为客户提供海量的安全意识培训内容库,同时划分成短小精悍的微课程。同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。