网络安全意识培训的重要性不用多说,但很多企业在实践中却面临两难选择。有时还会适得其反,甚至会导致安全意识培训在公司内部产生“非武术”的恶名。例如,今年早些时候,报业巨头TribunePublishing向员工发送了一封钓鱼模拟测试邮件,“祝贺”该员工获得5,000-10,000美元的年终奖金,这需要登录才能查看。结果,点击该链接的员工立即收到了参加计算机安全培训计划的通知。这次钓鱼测试终于引起了公愤,因为TribunePublishing在测试前刚刚解雇了大批员工,而钓鱼邮件测试无疑又给员工的创伤加了一把盐。电子邮件服务TheXYZ的创始人佩里·图恩(PerryToone)表示,对员工进行的网络钓鱼测试往往会产生类似的灾难性后果,这导致许多企业放弃了这种方法。“我们创建了一个虚假的网络钓鱼网站,并诱使员工点击电子邮件中的链接。事实证明这不是一个好主意。许多员工吓坏了,认为他们真的被黑了,”他说。有没有更好的方法让员工“留下深刻印象”并有动力参与安全意识培训?以下是网络安全专家的八个重要提示:根据游戏化Auth0安全与合规高级总监DuncanGodfrey的说法,人们喜欢边做边学,安全部门需要创造挑战来促进教育并激发兴奋。例如,内部错误搜寻不仅鼓励员工安全地查找和报告漏洞,而且还识别公司基础架构中的威胁和严重错误。戈弗雷说:“这项挑战促进了员工之间的良性竞争,并在我们的日常工作中引入了令人兴奋但富有成效的使命。”“任何发现关键漏洞的员工都会在公司内获得名人堂荣誉以及Auth0Swag奖。”第二个挑战是网络钓鱼:要求员工“像黑客一样思考”并试图欺骗Auth0的网络安全文化经理。安全人员每天防御的攻击类型,”戈弗雷说。将安全意识培训融入入职流程S3Consulting的首席执行官兼创始人JohannaBaum表示,作为入职流程的一部分,新员工应该接受一些意识培训。接受安全意识培训的证书,包括每位客户的强制参加。如果没有成功完成,他们将无法完成入职流程或某些资产的分配。鼓励员工提交错误报告。电子邮件安全公司Tessian的首席执行官兼联合创始人蒂姆·萨德勒(TimSadler)说,每个人都会犯错,“但人们控制的敏感数据比以往任何时候都多,例如客户、财务和员工信息。.这意味着即使是最小的错误,例如不小心将电子邮件发送给错误的收件人,也会严重损害公司的声誉。Sadler提倡通过鼓励员工提交错误报告来提高安全意识。“公司需要创造一种安全文化,鼓励员工向IT报告错误,”他说。否则,这些错误将在不了解它们发生的方式或原因的情况下继续发生。基于角色和年龄的有针对性的安全意识培训网络安全培训公司Cybrary的内容运营总监WillCarlson表示,为了使安全意识尽可能成功,安全领导者需要确保意识培训计划是可操作的并且与最终用户相关.他建议根据最终用户在公司中的角色定期进行“有针对性的意识培训”。Sadler还认为,组织还需要针对不同年龄段的人群量身定制安全培训内容。例如,我们的数据表明,在工作中受到尊重对老一辈人来说很重要,因此他们可能更不愿意承认自己犯了错误,因为他们不想丢脸。另一方面,年轻的员工对求知更感兴趣,所以我们应该教他们黑客用来对付他们的技术,让他们知道该怎么做。利用多种媒介IT和托管服务公司CarouselIndustries的CSO和CIOJasonAlbuquerque指出,企业应该采用“全渠道交付”系统来提高网络安全意识和教育。两个网络安全公告。“所有内容均基于可访问且具有教育意义的现代通信媒体(包括短视频、行业文章、电子邮件、MicrosoftTeams消息等)。Albuquerque表示,他还计划通过使用呼叫中心技术、知识库和人工智能,将内容分发渠道扩展到包括SMS消息,以便安全意识消息能够更快地传播并更有针对性。将安全培训“嵌入”到软件开发过程和文化中DevSecOps是一种从一开始就将安全性嵌入到软件设计中的文化,在许多组织中都很流行。但即使您尚未实施DevSecOps,也请考虑对您的开发人员进行安全意识方面的培训。Checkmarx应用程序安全全球总监MatthewRose表示:“安全意识培训应该是DevOps不可或缺的一部分,而不是一项额外的单独任务。开发人员喜欢呆在他们喜欢的环境中,如果培训让他们脱离这个环境,他们将无法这样做。”将其视为繁重和令人沮丧的事情,而不是提供信息和激励。”KennaSecurity的安全与合规经理JerryGamblin说:“企业应该花时间在其DevOps团队中构建以安全为中心的内容。培养安全知识“部落”,包括专门的语言安全培训、支付安全会议费用或提供与安全DevOps和编码相关的安全书籍库。”将安全意识带回家随着远程工作现在成为新常态,这意味着该员工的其他家庭成员可能正在使用同一路由器访问工作和学校。“鉴于这一现实,我认为让员工的整个家庭参与网络安全意识培训很重要,”HomeAccessHealthCorp.副总裁兼信息技术安全官兼ISACA董事会主席PamNigro说。Nigro的团队创建了简单的安全意识信息,供父母与他们的孩子分享,作为教育所有人的努力的一部分。基于云的软件供应商Datto的信息安全主管克里斯亨德森表示,他也在努力帮助远程工作者改善他们的安全状况。“Datto还一直在为员工提供他们家庭安全状况的评估,为他们提供保护路由器和端点的帮助,以确保我们的新远程环境免受攻击,”他说。寻找部门级安全意识”安全公司Cyphere管理顾问兼专业服务总监HarmanSingh表示,安全团队需要有意识地“笼络”热情主动的员工,这将有助于安全团队传播安全意识消息。他说:“就像在办公室里进行演练一样,从每个部门选拔培养一个安全意识‘二班长’,联系上他,帮助队友保证更快的反应,这是一种对内更有效的社交工具。”【本文为专栏作家“暗暗牛”原创文章。转载请通过暗暗牛获得授权(微信公众号id:gooann-sectv)】点此查看该作者更多好文
