2020年,随着疫情加速全球远程办公的规模化和常态化,企业的攻击面将成倍扩大,社会工程学攻击和钓鱼攻击将激增。IAM、端点安全和网络安全意识培训成为增长最快的“热门”网络安全产品/服务。根据GoSecurity的调查(下图),网络安全意识培训是企业安全管理者眼中最有效的安全产品/服务,但在企业整体安全支出中占比最低(不足10%)。良好的网络安全意识培训,可以把“人的弱点”变成“人肉长城”,把最薄弱的短板变成最强的防线。因此,它是最具成本效益的“刚需服务”,能够快速提升企业网络安全的弹性。对于IAM和端点安全产品,市场上已有相对成熟的评估工具和方法。但是,对于网络安全意识培训服务,一个过去被边缘化和忽视的“选项”,很多企业的安全管理者仍然没有针对性的选择方法和标准。事实上,网络安全培训是一项非常系统和专业的服务。很多企业依靠内部培训团队,但更多的公司寻求外部供应商的帮助。由于安全威胁形势发展如此之快,最好的方法是将培训委托给掌握最新趋势的专家。但是,找到一个安全意识培养能力匹配、值得信赖、长期合作的合作伙伴来之不易,下面,我们整理了一个优秀网络营销的七大关键属性安全意识培训提供商。1.与企业安全原则的兼容性管理咨询公司McKinseyandCompany的专家助理合伙人CharlieLewis表示,安全意识培训取得长期成功的关键是找到与您的组织相匹配的安全需求。、政策和目标提供者。在联系供应商之前,有必要进行一些内部研究。“安全意识培训课程应该是良好网络安全文化、网络安全意识和安全变更管理计划不可或缺的一部分。这三个因素对于安全意识培训的选择和成功实施也至关重要,”他解释道。前美国军事学院美国政治学助理教授、前美国军事学院美国政治学助理教授、领导力教育计划的创建者美国陆军网络刘易斯建议,选择安全意识提供者需要内部共识,说:“安全经理需要与一线员工和业务负责人合作,查看特定的安全意识服务是否符合他们的需求和兴趣,这有助于确保选择正确的产品和服务。2.参与能力ISACA女性领导力咨询委员会创始主席、澳大利亚居家健康与养老服务提供商SilverChainGroup首席信息安全官JoStewart-Rattray认为,安全意识培训必须与企业文化相匹配,员工能力。提高员工敬业度。“放之四海而皆准的培训很少会成功,”她指出。培训必须在一定程度上适应业务及其偏好的学习方式。商业咨询公司CapgeminiNorthAmerica的网络培训主管DanCallahan指出,了解受众的能力水平对于提供有效的、有针对性的培训是必要的。是内容驱动的,忽略了员工角色和安全技能的差异。》安全意识培训的内容要紧扣安全形势,同时与客户企业文化的关联性也很重要。3、有针对性的培训内容德勤网络与战略风险组风险与财务咨询负责人SharonChand认为,安全意识培训必须有针对性。意识培训的方法可能与承包商或第三方供应商的方法不同。”同样,培训特权访问IT人员的方法与油田运营技术人员的方法也大不相同。“我们发现,针对独特的受众,定制安全意识培训内容可以大大提高效率。美国政府前首席信息安全官、网络安全公司AppGateFederal总裁、卡内基梅隆大学亨氏信息系统与公共政策学院兼职教员GregTouhill表示,没有什么比实际测量更能确定内容网络安全意识培训的价值。更好的。他说:“我很喜欢试训的形式,随机的员工组成选拔委员会,参加投标厂商的培训项目,进行试训,评估自己的能力是否符合要求。4、完善培训内容,满足需求员工队伍多元化。与员工分布在集中区域的小型组织相比,员工分布在地区或洲际的大型企业通常面临更广泛的本地化威胁。Touhill表示,他将密切关注一款安全意识培训工具,没有无论它位于何处,都将在攻击预防和可用性方面与整个团队相关。“我们在许多非英语国家都有员工,”他说。“因此,我重视多语言跨区域覆盖安全意识产品。5.支持威胁建模集成大多数企业使用某种形式的威胁建模来识别、验证和应对网络威胁。Touhill推荐利用威胁建模的意识培训产品或服务。”例如,如果有一个特定国家/地区的黑客组织或网络犯罪团伙正在窥探我的知识产权,我希望我的安全意识培训计划能够切中要害,帮助我的团队了解如何正确应对威胁。“威胁建模通常被视为一个纯技术领域,但实际上该模型也可以涵盖商业利益和商业诉求。Callahan说:“重要的是确定您希望企业受众考虑的安全意识信息类型。..因为在很多情况下,内部威胁是最大的问题。“良好的网络意识培训可以帮助预防和减轻大多数威胁。”刘易斯认为,安全意识培训服务提供商有必要了解网络威胁如何直接影响业务人员的安全培训。他说:“威胁建模是成功实施安全意识培训计划的关键因素。6.合理的价格Touhill建议企业信息主管或安全主管与同行交流,以确定服务提供商的报价是否具有竞争力。他说:“CISO社区在分享最佳实践方面无与伦比。CISO之间的沟通可以帮助他们快速确定有竞争力的服务提供商候选人。Callahan指出,CISO需要提防那些试图过度销售其产品或服务的供应商:“当今许多组织的培训内容和活动超负荷。”因此,如果向员工提供过多的安全意识培训内容或信息,他们将7.提供有效培训的能力”Chand指出。有效的安全意识培训是应对这些挑战的最佳方式。“为了评估特定安全意识培训产品或服务的潜在有效性,Stewart-Rattray建议让关键利益相关者参与进来,包括人力资源和其他相关部门负责人,在决策过程中。使用跨部门协作并确保关键利益相关者参与决策过程并在可能的情况下试用产品非常重要。根据Lewis的说法,概念验证(PoC)试验是在现实中测试安全意识培训服务有效性的绝佳方式:“随着时间的推移,您可能会开始看到周期性的培训结果,例如恶意链接点击率下降“你需要在整个概念验证过程中衡量这个指标,并持续评估产品。如果产品或服务不符合预期,请告知供应商。刘易斯建议:“如果该工具不能真正降低网络钓鱼点击或人为错误的风险,请与服务提供商合作调整培训节奏,如果所有方法都失败,则开始寻找其他供应商。”确保安全意识培训长期有效的方法是一项开放式任务。安全团队必须持续观察安全意识培训产品或服务的有效性。大多数安全领导者都知道的一种常见方法是内部网络安全,”卡拉汉说。钓鱼测试。“另一种流行的方法是随机检查员工的办公桌,看看是否有任何关键或敏感信息的泄漏。【本文为专栏作家“平安牛”原创文章。gooann-sectv)获取授权】戳这里查看作者更多好文
