CapitalOne首席执行官杰里希·比森(JerichBeason)表示,“辞职浪潮”等同于“入职浪潮”。在一篇帖子中,他写道,“如果你是网络领导者,你今年可能会招聘新人才。根据我的经验,这为新员工入职时定下了基调,不要接受轻轻地……你只有一次机会给人留下第一印象。”他说,在入职期间要解决的关键任务包括概述安全愿景、使命和核心价值观,以及通过安全战略和路线图指导新员工。其他CISO赞同Beason的见解,称让新员工快速有效地入职至关重要该组织的网络安全计划。TalentLMS和KennaSecurity的2021年报告指出需要关注这一领域。他们调查了1,200名员工的网络安全习惯、最佳实践知识和识别安全威胁的能力,发现虽然69%的员工受访者从他们的雇主那里接受了网络安全培训,61%的人说他们没有接受过这些方面的培训未能通过主题的基本测试。经验丰富的安全领导者说,从工作的第一天起,就有很多方法可以使安全培训更有效。他们提供了七种策略如何使安全入职更有效1.确保他们知道网络安全是工作的一部分新员工需要了解现在有很多信息,因此他们在入职过程中保留高技术数据或非常详细流程的能力可能会受到限制。SANS研究所安全意识和培训项目的技术总监LanceSpitzner说,“当新员工入职时,有些人会感到不知所措,他们有了新工作、新技术和新老板。”因此,与其立即提供所有必要的网络安全培训,不如传递关键信息,即员工在安全方面负有责任。“我们不希望这些人认为,‘我们有防病毒软件,我们有安全团队,所以我们已经为安全做好了准备,’”他说,并指出最有效的入职流程是设定期望和建立安全意识.他补充说,“他们确保新员工知道网络安全是他们工作的一部分,这不仅仅是网络安全团队的工作,他们和其他人一样对此负责。”2.确保新员工知道如何安全地完成工作新员工获得的信息如此之多,以至于经验丰富的CISO表示,召开有效的安全会议非常重要,专门教他们如何开始并确保他们掌握了这些基础知识。Protiviti安全和隐私实践董事总经理AndrewRetrum说:“我看到一些员工入职安全意识培训非常笼统,当他们完成培训时,有一些链接指向特定的公司政策和安全事件后的联系方式.信息,以及安全门户的链接。如果我是一名新员工,那么培训就不会很有用,实际上需要的是在幻灯片上提供有关安全工具的详细信息。”相反,他说,培训应围绕向新员工教授特定的安全特性、功能和工具,以及有关安全电子邮件、正确分类数据、与第三方安全交换受保护信息以及处理其他典型任务的公司政策。Retrum说:“这需要明确说明,这样当员工开始他们的日常工作时,他们就知道如何安全地开展工作。”是为了让他们参与进来。“我们都对安全负责,部分负责JAMS的信息安全副总裁兼首席信息安全官RichLindberg说:“它的成功。”我们都必须为此共同努力。但拥抱这一理念归结为向他们展示他们的重要性并建立联系。”JAMS,Inc.是替代性争议解决服务提供商,是信息管理协会(SCSIM)南加州分会的顾问委员会成员。为了建立融洽的关系,林德伯说他或他的团队成员会花时间与新员工沟通。“我可以给他们做一个信息简报,或者让他们遵守一些规则,但相反的是,我们可以帮助他们,并在他们需要帮助的时候联系我们,”他说。“我对待新员工就像对待客户一样。4.为员工量身定制的入职培训据全球技术提供商InsightEnterprises副总裁兼首席信息安全官JasonRader表示,新员工的大部分信息传递都是跨组织的标准信息,但CISO需要的不仅仅是通用培训模块。“我们已经收到反馈,这些模块可能过于通用以至于它们毫无用处,”Rader说,并解释说现成的培训选项可能满足合规性要求,但不不一定要让人们掌握安全操作所需的知识。新员工。他在培训课程中看到的视频只是简单地写着“遵循公司的BYOD政策”和“遵循公司的密码政策”,而没有提供实际的政策。所以雷德说他会用更多特定于InsightEnterprises安全计划的信息来补充基本的入职材料。他补充说,“我正在努力使入职材料更加具体,而且我也在与CIO讨论这个角色。”同样,Retrum建议CISO根据需要更新他们的培训。正如他指出的那样:“风险会发生变化,因此18个月前所说的话现在可能不再适用。”例如,他看到安全培训侧重于物理安全,但没有提到网络攻击者通过短信进行欺骗和网络钓鱼,网络攻击的风险正在上升。5.用标准化方法涵盖基础知识微软首席安全顾问、前首席信息安全官和入职安全检查表的作者特伦斯·D·杰克逊(TerenceD.Jackson)说,他遇到过以临时方式完成安全入职的公司。“它没有正式化,更多的是部落知识,没有正式文件或培训材料的支持,”他回忆道。Jackson和其他人警告不要采用这种方法,并且不要假设今天的员工对网络安全有基本的了解。学习。他们强调需要以标准化、可重复的方法涵盖安全基础知识,以确保每个人都确切地知道对他们的期望,无论他们在劳动力中的角色、经验和年龄如何。“你不能指望有人按照他们不知道的规则比赛,”拉德说。Beason说,CapitalOne通常会招聘具有不同背景的员工,但他们过去的经验并不能保证他们会了解他们的所有期望。“我们希望新员工了解对我们公司的期望,因为每个企业都有不同的安全要求,”他说。“因此,在新员工进入工作环境之前,我们希望确保他们在该环境中是安全的。运行,以便他们了解最佳实践和可接受的用法、如何使用电子邮件以及对他们的期望。企业需要为他们提供这些基础知识。”6.为个人和角色量身定制培训有关安全要素的信息应该是一致的和标准化的,但一些CISO表示他们已经成功地以不同的格式共享了这些信息。Jackson说,“这是一个基线方法,能够适应个人的需求并以此为基础。我相信最好的项目都包含这种心态。为员工提供他们需要的方式;更灵活地满足他们的需求。”需要。这样做的程序往往比那些放之四海而皆准的程序更受欢迎。”Jackson提到了他的入职经历,新员工可以阅读或收听培训材料,或两者兼而有之。他说他喜欢听培训材料,但当涉及到更复杂的信息时,他更喜欢同时阅读和收听.此外,成功的入职培训计划倾向于为角色和业务部门量身定制培训材料,并使用培训工具让新员工快速了解他们的公司安全,以便他们可以更专注于培训材料。“公司试图以员工为中心,”他补充道。7.将入职培训作为持续培训的一部分IT服务经理Genpact的高级副总裁兼首席信息安全官RamHegde认为,新员工的安全信息应该是轻量级但有效的信息。和其他人一样,他认为新员工无法吸收他们开始时获得的所有材料。Hegde补充道:“所以现在可能不是让他们接受大量材料或计划做大量工作的最佳时机。因此需要考虑基础培训,重点关注最大的风险。”考虑到这一点,他使用在线互动培训模块,使新员工能够快速扫描他们已经知道的材料,并花更多时间学习新信息。他说:“这确保他们得到他们需要的东西,但不会让他们持有超过必要的时间。”他补充说,有人反馈说以前使用的材料冗长、乏味和多余,所有这些都促使企业转向更短、更有吸引力的模块。该公司随后为新员工提供了更详细的培训,以帮助他们适应工作。Hegde解释说:“对我们来说,我们希望确保首先触及关键方面,同时考虑到各种情况,然后是下游,为员工提供更有针对性的安全培训。”其他人强调这种方法的重要性,并指出安全意识培训不是一劳永逸的做法,这与广泛接受的最佳实践是一致的。“无论互动如何,良好的安全行为都不可能在30分钟的培训中建立起来,”Spitzner说。“所以确保新员工安全的关键是在他们的职业生涯中进行持续的培训。所以当他们加入一家企业时,告诉他们这是他们的责任,只要他们在公司,他们就会去进行持续的网络安全培训。持续的培训才是真正构建安全文化基础的东西。”
