蓝盟IT小贴士,来喽!
网络安全意识训练的重要性不言而喻,很多企业在实践中面临困境,力量小员工适当解决,力量大,方式错误的话,有时会发挥反动,安全意识训练在企业内部“使用武德
例如,在今年早些时候,报社的Tribune Publishing向员工发送了仿冒模拟邮件。 “恭喜”员工需要获得5000-10000美元的年终奖,登录确认。 结果,点击链接的员工很快收到了参加计算机安全培训计划的通知。 这次钓鱼测试最终引起了大众的愤怒。 Tribune Publishing测试前刚解雇了很多员工,phishing邮件测试确实给员工心里的伤口撒了盐。
电子邮件服务公司TheXYZ的创始人佩里托内说,对员工进行钓鱼测试并不罕见,许多公司放弃了这种方法。
他说:“我们创建了虚假的钓鱼网站,诱惑员工点击了电子邮件链接。 事实证明这不是个好主意。 许多员工吓了一跳,以为自己真的被黑了。 ”。
那么,互联网安全意识的训练是不是有让员工“印象深刻”的同时参与动力的方法呢? 以下是多个网络安全专家提出的八项建议。
游戏化
Auth0安全合规总监Duncan Godfrey说,人们需要在学习的同时,安全部门促进教育,创造令人兴奋的挑战。
例如,内部漏洞搜索不仅鼓励员工安全地确定和报告漏洞,还可以确定企业基础架构中的威胁和严重错误。
Godfrey说:“这个挑战促进了员工之间的健康竞争,为我们的日常业务引入了兴奋有效的使命。 发现严重漏洞的员工将获得公司内部名人堂荣誉和Auth0赃物奖。 ”。
第二个挑战是网上诈骗。 要求员工“认为自己像黑客一样”,试图欺骗Auth0的网络安全文化经理。
Godfrey说:“用这种控制和安全方法进行的挑战给我们的员工带来了有趣的任务,使他们更好地理解安全人员日常防御的各种攻击类型。”
将安全意识培训集成到入职过程中
S3 Consulting的CEO兼创始人Johanna Baum说,在新员工入职的过程中,他们应该接受一些意识训练。她说:“在S3中,发行入职证明书后可以接受安全意识训练。 这包括所有客户都必须参加. 如果没有成功完成,就无法完成入职流程和部分资产的分配。 ”。
我建议员工提交错误报告
Tim Sadler是电子邮件安全公司Tessian的首席执行官兼联合创始人,他说每个人都会犯错误。 “但是,我们管理着比以往更多的机密数据,包括客户、财务和员工信息。 这意味着即使是最小的错误,错误地向收件人发送电子邮件也可能会严重损害公司的声誉。 ”。
Sadler提倡通过鼓励员工提交错误报告来更好地普及安全意识。
“公司需要建立安全文化来鼓励员工向IT部门报告错误。 否则,这些错误将继续发生,无法知道它们的发生方法和原因。 ”。
基于角色和年龄的目标安全意识训练。
网络安全培训公司的Cybrary内容运营负责人Will Carlson为了尽可能成功地实现安全意识,安全领导认为意识培训项目对最终用户来说是可行的
他建议根据最终用户在公司的作用,提供定期的“某种放箭意识训练”。
Sadler还认为,组织必须根据不同的年龄定制安全培训内容。
例如,根据我们的数据,由于在工作中受到尊重对老年人很重要,他们不想丢脸,所以可能不想承认自己犯了错误。 另一方面,年轻员工对求知更感兴趣,所以我们应该告诉他们黑客为他们使用的技术,知道他们该怎么办。 ”。
利用多种媒体
IT和管理服务公司Carousel Industries的CSO和CIO Jason Albuquerque指出,企业应该采用“全渠道发布”系统,提高网络安全意识和教育水平。
他说:“我们现在每月向所有员工发布两次网络安全公告。 “所有内容都基于易于理解、具有教育意义的现代通信媒体,包括短视频、行业文章、电子邮件、Microsoft Teams消息等。
Albuquerque还表示,计划使用呼叫中心的技术、知识库和人工智能扩展内容分发信道,以包括SMS消息,从而更快和更明确地分发安全意识信息。
将安全培训“纳入”软件开发过程和文化
DevSecOps是一种从一开始就将安全纳入软件设计的文化,在很多组织中广泛普及。 但是,即使尚未实施DevSecOps,也请考虑对开发人员的安全意识进行培训。Checkmarx应用程序安全全球总监Matthew Rose说。 “安全意识训练应该是DevOps的内在组成部分,而不是额外的个别任务。 开发者喜欢留在自己喜欢的环境中,如果通过训练他们脱离了这样的环境,他们会认为信息丰富,不是激励性的活动,而是沉重和沮丧。 ”。
Kenna Security安全合规经理Jerry Gamblin说:“企业需要建设安全中心的内容,并在DevOps团队中培养安全知识“部落”
安全意识带回
现在远程办公室处于新的常态。 这意味着员工家族的其他成员可能正在使用同一路由器访问工作和学校。
Home Access Health Corp .信息技术副总裁兼安全官ISACA理事会主席Pam Nigro说:“基于这个现实,我认为让全体员工家属参加网络安全意识训练非常重要。”
倪格罗的团队制作了简单的安全意识消息,让父母和孩子可以共享。 这是教育所有人努力的一部分。
作为基于云的软件提供商Datto的信息安全总监Chris Henderson说,远程员工正在努力改善安全状况。
他说:“Datto为员工提供了家庭安全状况评估,并提供了帮助保护路由器和端点以防止新远程环境受到攻击。”
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
