网络“黑客”,想必大家都听说过吧,那网络安全意识培训的重要性就无需多言了。但很多企业在实践中却面临两难境地,力度小了,员工敷衍了事;力度大了,方式不对反而会起反作用,甚至会让网络安全意识培训在企业内部落下坏名声。
网络安全意识培训怎么做?
网络安全意识培训该如何进行呢?有没有让员工“印象深刻”同时又有参与积极性的方法呢? 看看多位网络安全专家给出的八大建议:
一. 游戏化
Auth0安全与合规高级总监DuncanGodfrey表示,人们喜欢边做边学,安全部门需要创造既促进教育又激发兴奋的挑战。
例如,内部漏洞搜寻不仅鼓励员工安全发现并报告漏洞,而且还可以识别公司基础架构中的威胁和严重错误。
Godfrey说:“这一挑战促进了员工之间的健康竞争,并在我们的日常工作中引入了令人兴奋但又富有成效的使命。发现严重漏洞的任何员工都会获得公司内部的名人堂荣誉以及Auth0赃物奖。”
第二个挑战是网上诱骗:要求员工“像黑客一样思考”,并尝试诈骗Auth0的网络安全文化经理。
Godfrey说:“这项以受控和安全的方式进行的挑战为我们的员工带来了一项有趣的任务,使他们能够更好地了解安全人员日常防御的各种攻击类型。”
二. 将安全意识培训整合到入职流程
S3Consulting的首席执行官兼创始人JohannaBaum说,在新员工入职的过程中,他们就应该接受一些意识培训。
她说:“在S3中,一旦通过入职颁发证书即可接受安全意识培训,包括每个客户都必须参加。如果没有成功完成,他们将无法完成入职流程或某些资产的分配。”
三. 鼓励员工提交错误报告
电子邮件安全公司Tessian的首席执行官兼联合创始人TimSadler说,每个人都会犯错,“但是人们控制的敏感数据比以往任何时候都要多,例如客户,财务和员工信息。这意味着即使是最小的错误,如意外将电子邮件发给错误的收件人,都可能会严重损害公司的声誉。”
Sadler提倡通过鼓励员工提交错误报告来使安全意识更加普及。
他说:“公司需要建立一种安全文化,以鼓励员工向IT部门报告错误。否则,这些错误将继续发生,而且无法了解它们的发生方式或原因。”
四. 基于角色和年龄的针对性安全意识培训
网络安全培训公司Cybrary内容运营主管WillCarlson说,为了使安全意识尽可能成功,安全领导者需要确保意识培训项目对于最终用户而言是可行的和有针对性的。
他建议根据最终用户在公司中的角色,提供定期的“有的放矢的意识培训”。
Sadler还认为,组织还需要针对不同年龄量身定制安全培训内容。
他说:“例如,我们的数据表明,在工作中受到尊重对老一辈很重要,因此他们可能更不愿承认自己犯了一个错误,因为他们不想丢脸。另一方面,年轻的员工对寻求知识更感兴趣,因此我们应该向他们传授黑客用来针对他们的技术,以便他们知道该怎么办。”
五. 利用多种媒介
IT和管理服务公司CarouselIndustries的CSO和CIOJasonAlbuquerque指出,企业应当采用“全渠道交付”系统来提高网络安全意识和教育水平。
他说:“我们现在向所有员工每月发布两次网络安全公告。“所有内容都基于易于理解和具有教育意义的现代通信媒体(包括短视频、行业文章、电子邮件、MicrosoftTeams消息等)。
Albuquerque表示,他还计划通过使用呼叫中心技术、知识库和人工智能将内容分发渠道扩展为包括SMS消息,从而使安全意识信息传播更快,更具针对性。
六. 将安全培训“嵌入”软件开发流程和文化中
DevSecOps是一开始就将安全性嵌入软件设计中的文化,在许多组织中广为流行。但是,即使您还没有实施DevSecOps,也要考虑对开发人员进行安全意识方面的培训。
Checkmarx应用程序安全全球总监MatthewRose说:“安全意识培训应该是DevOps的内在组成,而不是额外的单独任务。开发人员喜欢留在自己喜欢的环境中,如果培训使他们脱离了这种环境,他们会认为这是繁重而令人沮丧的,而不是信息丰富和具有激励性的活动。”
KennaSecurity的安全和合规经理JerryGamblin表示:“企业应该花时间建设安全中心内容,在其DevOps团队中培养安全知识“部落”,其中包括专门的语言安全培训、支付安全会议费用或提供与安全DevOps和编码有关的书籍的安全库。”
七. 安全意识带回家
如今,远程办公已经成为一种新常态,这意味着员工家庭其他成员可能正在使用同一路由器访问工作和学校。
HomeAccessHealthCorp.信息技术副总裁兼安全官,ISACA董事会主席PamNigro表示:“鉴于这一现实,我认为让员工的全部家人参与网络安全意识培训非常重要。”
Nigro的团队创建了简单的安全意识消息,供父母与孩子分享,这是教育所有人的努力的一部分。
基于云的软件提供商Datto的信息安全总监ChrisHenderson表示,他还在努力帮助远程员工改善安全状况。
他说:“Datto还一直在为员工提供其家庭安全状况的评估,为他们提供保护路由器和端点的帮助,以确保我们新的远程环境不会遭受攻击。”
八. 寻找部门级的安全意识“二班长”
安全公司Cyphere的常务顾问和专业服务总监HarmanSingh建议,安全团队需要有意识地去“笼络”那些热情主动的员工,这将有助于安全团队传播安全意识信息。
他说:“就像在办公室进行演习一样,从每个部门选择和培训安全意识“二班长”,可以与他们联系以帮助队友确保更快的反应。这是内部更有效的社交工具。”
网络世界总是存在“虚假”与“陷阱”,所以我们要使用时,要加以注意,提供自身的网络安全意识。而至于网络安全意识培训怎么做?不妨看看以上的多位网络安全专家给出的建议!
