企业很难让员工参加网络安全意识培训,往往不得不强制员工遵守。持续不断的财务紧张影响着所有企业,这也意味着规模较小的团队需要更多工作,这些团队需要时间来完成非常乏味的培训。解决方案是重新设想这些计划,把重点放在更频繁但持续时间更短的培训上,奖励员工,避免点名和羞辱,并帮助他们理解这不仅有助于他们目前的工作,也有助于他们在家里和未来的工作。
以下是你目前的培训没有效果的八个原因,以及企业应该考虑什么才能让它更具吸引力。
1、调整网络安全培训的方法是打破常规
Security Innovation的首席执行官Ed Adams表示,让培训变得有效的“更好方法”是让人们表现得像攻击者,模仿复杂、快速演变的网络攻击世界,特别是在软件安全方面,他指出,根据该公司与波内蒙研究所的2023年研究,包括现实模拟在内的网络安全培训项目可以提供更高的投资回报率。
像这样的培训计划可能包括任务、挑战——例如破坏访问控制——竞赛,以及带有补充实验室和课程的排行榜,以评估能力并最大限度地提高学习和协作能力。他告诉记者:“能够看到数据被盗和欺诈性交易形式的攻击的含义,将漏洞从理论问题转变为实际问题。”
他的建议是,根据一个人的角色和他们的技术平台量身定做培训。他说:“有了模块化的安全课程,就更容易将安全概念分解成针对特定角色的可互换的核心组成部分。在这种方法中,培训必须具有参与性和情境性,以确保掌握,同时跟上安全团队面临的最新威胁。”
培训计划还需要定期更新,并不断更新最新的威胁情报。Adams说:“没有什么比每年提供一次过时的内容更能告诉人们你不把培训当回事。”虽然你不能强迫人们吸收他们不想要的知识,但强制性培训也可以是激励的,但加强为什么要建立以安全为重点的文化至关重要。
自定进度的学习对于扩展知识和灵活性也很重要,融入亲密的生活环境可以建立团队合作。“这就是为什么由讲师指导的团队意识活动是有效的,即使是远程的。培训培训师或学徒计划的选项对于组织的成熟和认同至关重要。接受‘自己人’的培训会带来新的视角,并增加倾听和学习的意愿。”
2、要想使培训有效,需要重视安全文化
马里蒙特大学(Marymount University)兼职教授、网络医生(Cyber Doctor)创始人Stephen Boyce表示,CISO可能会错过的是,在网络安全培训中超越以复选框合规为重点的方法。
要使企业的安全文化成熟,需要更多的预算和人力资源。Boyce告诉记者:“除了技术人才,企业还应该用非传统背景的人才来支持他们的员工队伍,比如人的因素、心理学和安全专业人员。”
每个企业都有或缺乏安全文化,随着时间的推移,随着时间的推移,有了专门的资源,这种文化应该会成熟,就像它的网络安全计划一样。他说:“一个企业的网络安全计划的影响力取决于该企业的安全文化,以及它是否使用了多种交付方法,将员工不同的学习风格结合在一起。”
他说:“一些企业使用不同的交付方法,根据个人的风险状况而不是他们的职称或部门来定制他们的培训计划,这需要他们员工的个人基线来了解每个员工的风险状况。然后进行持续评估,以了解他们在应对当前威胁时的优势和劣势,从而提供与员工相关的有意义的培训。”
但Boyce认为,这种做法未来需要改变。“今天的安全培训和教育项目是由数字移民为数字移民设计的,然而,随着劳动力人口结构的持续变化和数字原住民在劳动力中的主导地位,企业会发现他们一贯的做法不再那么有效。”
他说:“一些培训项目正在提供可以从一个雇主转移到另一个雇主的数字徽章,使企业能够在未来员工开始工作日期之前确定他们的基线,并将培训项目与人力资源系统联系起来。”
3、该行业需要一种不同的方式来衡量人类风险
“为什么它很糟糕?AwareGO的联合创始人兼研发主管Ragnar Sigurdsson表示:“它太长了,太技术了,安全管理员太依赖钓鱼模拟了。”他认为,网络培训应该是愉快的,但也是小规模的;保持培训视频不超过两分钟,使用演员而不是卡通,并利用广告行业的技巧,以一种更快、更吸引人的方式传达有关威胁的信息。“人们很快就会失去兴趣,如果他们觉得自己的时间被浪费了,他们就会开始憎恨培训,不会参加培训,”Sigurdsson说。
他说:“几十年来,公司一直依靠网络钓鱼模拟来告诉他们公司在网络安全方面的立场,这些测试确实让你对自己的风险状况有了一些了解,但只在一个方面(他们点击了还是没有点击),即使这样,信息也不是那么好,它们不会显示人们是否忽视了这封电子邮件,如果他们转发了它,他们是如何决定它是安全的还是不安全的等等,这些都是非常重要的信息,安全管理员应该想知道这些信息,以便他们能够补救真正的问题。”他说。
众所周知,钓鱼模拟也会对员工产生负面影响,因为它们会让人们在使用真实组织的域时失败,这使得钓鱼电子邮件几乎不可能被发现。Sigurdsson说:“这导致员工恶意合规,声称公司的每一封电子邮件都是钓鱼邮件,不回复电子邮件或会议请求。”
我们需要一种不同的方法来衡量人类风险。不是标准化的问卷调查或网络钓鱼模拟,而是针对多个威胁领域的独立和互动评估方案,每个方案都揭示了不同水平的知识和行为。Sigurdsson倾向于从人类风险评估开始,然后使用该评估来建立具有相关主题的培训计划。
将奖励和游戏化结合起来有助于激励和一些良性竞争。此外,最好是向员工提供分数和关于他们正确答案和错误答案的信息,而不是简单地说“不及格”。Sigurdsson补充道:“并为得分最高的员工提供奖励,并在不同地点或部门内建立排行榜。”
他认为,还有必要在内部“推销”网络安全培训计划,以帮助买入。他说:“宣传得不好的安全项目很少能获得成功。倡议背后需要一个平易近人的人;部门负责人和中层管理人员需要全力以赴并给予支持,才能获得一些吸引力。”好的成绩应该得到表扬和呐喊,而差的成绩必须通过训练来补救,不能责备或羞愧。他说:“安全计划不能是来自最高层的指令,而是作为从首席执行官到看门人的所有人的共同责任。”
4、游戏化和在实践中学习
Skill able执行主席兼联合创始人Corey Hynes表示,游戏化在安全领域尤其奏效,参与者喜欢展示知识和技能。安全游戏,如攻击/防御、夺旗和红色对蓝色,始终实现更高的参与率,产生更好的学习结果和技能获得。根据Hynes的说法,当单独完成排行榜时,排行榜是激励学习的一个很好的工具。
Hynes说:“将游戏化纳入培训计划,并不需要很复杂才能有效。复杂的计分卡或复杂的自动化和评分可能是不必要的。然而,将人们放在同伴小组中,由能够管理互动和促进良性竞争的教练或协调员监督,可能是非常有效的。”他认为,太多的节目依赖于“边看边学”,而没有给予“边做边学”足够的重视。
在未来,随着攻击变得更加复杂和频繁,通常得益于GenAI的进步,Hynes认为,企业必须让人们准备好在第一时间做出快速而正确的反应。“要为这个现实做准备,你需要的不仅仅是阅读或观看视频。”
5、摒弃一刀切的做法
NINJIO网络安全意识培训的首席执行官Shaun McAlmont表示,将课程个性化是至关重要的,以满足学习者的需求。“要做到这一点,公司需要一个培训计划,使他们能够根据个人或团队的需求量身定做课程,解决他们角色或个人弱点的现实问题。”McAlmont告诉记者。
他认为,许多网络安全意识项目的几个共同特征是被误导的,因为它们出于合规目的勾选了一个框,但没有考虑人们如何学习以及如何让他们改变自己的行为。“如果人们从一开始就置身事外,他们就不会学习和改变行为,所以我们需要考虑三件事来呈现这些信息:时机、相关性和个性化。”
由于网络安全是一个复杂的话题,有很多技术细节,每年给某人上一次课并不会带来更安全的企业,因为人们不会很好地保留信息,也不会改变他们正在做的事情。相反,每月定期培训可能会将网络安全意识的需求放在首位。
McAlmont说,反复的学术研究发现,最佳演讲时长为15分钟,那么为什么要试图在长时间的劳动力培训中传达超重要的信息呢?“取而代之的是,把训练分成更短、更容易理解的部分,然后把它们分散到每月固定的节奏中。这样做可以避免学习者疲惫不堪,并降低他们在午餐前忘记一切的可能性。”
为了保持培训的相关性,需要向学习者展示像网络安全这样的技术主题如何适应他们的生活。McAlmont说:“这意味着要建立一个相关的故事,让人们想:‘这可能真的会发生在我身上’,或者他们需要能够将培训中的主题与现实生活中的事件联系起来。”
当某人犯了错误时,无论是被IT部门的模拟钓鱼邮件迷住了,还是被真正的攻击迷住了,太多的程序都会依赖于惩罚性的方法,比如让这个人参加“补救性培训”,或者给他打一个负分。他表示:“相反,要保持积极和不带偏见。如果网络安全意识培训不带有负面内涵或引发恐惧情绪,人们更有可能参与其中,并为之做出积极贡献。”
这种方法是围绕人们如何学习改变他们的行为而建立的,这是一个比勾选合规计划的框要好得多的目标。McAlmont说:“事实证明,使用动画风格、故事驱动的插曲内容是该行业制作的最吸引人的内容之一。将这种娱乐性的方式与个性化交付相结合是全新的。”
6、网络教育需要成为一种享受
当涉及到教育时,我们低估了讲故事的力量,这意味着与其在培训模块中使用假设场景,不如分享现实世界的入侵、骗局或网络钓鱼。SEI的网络安全主管Mike Lefebvre告诉记者:“从实际的网络战争故事中学习可以从一个实际的网络事件中学到很多教训。”
他说:“员工需要关心网络安全培训,才能改变员工的行为。如果网络培训被定位为一种生活技能,可以帮助保护工作中和家里的员工,那么就有可能提高培训参与度。”
它需要及时、相关、吸引人、可接触和简洁,也就是治疗。“因此,当终端用户点击错误的链接或下载错误的电子邮件附件时,我们可以近乎实时地向他们介绍微型课程,而不是使用复杂的、正式的培训模块,”他说。“在网络安全变得像安全带或安全气囊一样无缝之前,我们还有很多工作要做。”
至于人工智能,目前还不清楚这对网络教育和培训到底意味着什么,但它的巨大普及可能会改写一些学习规则。它可能更像是一种“垃圾输入,回收信息输出”的情况,而不是迄今为止计算机科学定义的“垃圾输入,垃圾输出”的格言。“人工智能的突破表明,有可能从看似糟糕的数据中获得一些情报,”他表示。
Lefebvre认为,未来需要对教育和培训项目进行重大改造,以吸引即将与人工智能一起成长的一代人。“人工智能有可能从根本上改变我们人类处理和检索信息的方式,”他说。
7、通过冒险和非冒险的行动向员工提供实时反馈
Uptycs的CISO和产品战略副总裁Kevin Paige表示,观看基于计算机的视频的传统培训不起作用。“观看一个你不理解的话题的视频,指望别人记住内容,并将其应用到现实世界中,这不是人们学习的方式。”
更好的方法是接入收集个人安全和风险遥测的系统,并使用这些数据向员工提供实时反馈,以及个人每天采取的有风险和无风险的行动。“就像用积极和消极的增援来训练一只狗一样,我们可以根据实时的行动/信息来训练人类。”Paige说。
Paige认为,培训应该直接展示当员工点击钓鱼电子邮件、在互联网浏览器中键入密码、打开共享文件或从不安全的网站下载病毒时会发生什么。当员工没有从未经批准的来源下载软件时,他们应该得到积极的反馈。如果组织能够将这些反馈捆绑在一起,并给员工一个风险评分,这将使他们能够评估他们公司的整体风险状况。
8、让网络安全成为商业对话的一部分,但要保持相关性
网络安全意识和培训不能只是一次性的活动,相反,它需要是关于威胁和风险格局不断变化的性质的定期、持续的对话。
为了帮助将潜在风险保持在人们头脑中的前沿,Rapid7开发了自己的组织范围内每周安全公告,涵盖了内部和外部风险和威胁。就像每周的风险报告一样,高级领导层有一个版本,企业的其他人也有另一个版本,其目的是报道严肃的主题,但以简短有力的方式进行。
Rapid7的CSO Jaya Baloo告诉记者:“最多五个项目,因为我不是想让任何人超负荷工作,我只是想让每个人都变得更有水平,开始越来越具体地思考会影响我们企业的网络安全问题。”
她说:“Leadance One有五个内部项目,我们认为这些项目对企业来说是真正的风险,这些项目会交给高级副总裁和高管,要么需要采取行动,要么仅供参考。”而五个外部因素是世界其他地区正在发生的事情,无论是地缘政治事件、竞争对手还是地区性事件,我们都可以学习,这将惠及整个公司。
Baloo还相信谷歌无可指责的事后哲学,该公司也遵循了这一做法。“我们不是想让任何人在这件事上得罪人,我们只是想把它调整好。”
