互联网安全意识培训的必要性早已无需多言,可是许多公司在实践中遭遇左右为难处境,力度小了职工敷衍塞责,而力度变大,假如方法不对,有时也会具有反作用,乃至会让安全意识培训在企业内部落下来“不讲武德”的坏名声。
例如,在2022年稍早,出版业大佬Tribune Publishing向职工推送了钓鱼攻击仿真模拟检测电子邮件,“恭贺”职工得到5000-10000美金的年终奖金,必须登陆查询。結果点一下连接的职工马上收到了参与网络信息安全培训方案的通告。此次钓鱼攻击检测最后引起了公愤,由于Tribune Publishing检测前刚辞退了大量职工,钓鱼邮件检测毫无疑问是在职工的内心外伤上撒了一把盐。
电子邮箱服务中心TheXYZ的创办人佩里·托内(Perry Toone)说,对职工执行钓鱼攻击检测造成相近的毁灭性結果并不少见,乃至许多公司因而放弃了这一方式。
他说道:“大家建立了一个弄虚作假的诈骗网站,并引诱职工点击电子邮箱中的连接。事实上,这不是一个好点子。很多职工吓傻了,认为自身真被黑客攻击了。”
那麼互联网安全意识培训是否有更快的,让职工“印象深刻”与此同时又有参加主动性的办法呢?下列是多名网络信息安全权威专家提供的八大提议:
游戏化
Auth0安全性与合规管理高級主管Duncan Godfrey表明,大家喜爱边做学游戏,安全部必须造就既推动文化教育又激起激动的挑戰。
例如,内部结构系统漏洞寻找不但激励职工安全性发觉并汇报系统漏洞,并且还能够鉴别企业基础架构中的侵害和致命错误。
Godfrey说:“这一挑戰推动了职工间的身心健康市场竞争,并在人们的日常工作上引进了令人激动但又富有成效的重任。发觉比较严重系统漏洞的一切职工都是会得到企业里面的名人堂成员殊荣及其Auth0脏物奖。”
第二个挑戰是在网上哄骗:规定职工“像网络黑客一样思索”,并试着行骗Auth0的网络信息安全文化艺术主管。
Godfrey说:“此项以可控和安全性的形式实现的挑戰为咱们的职工产生了一项有意思的每日任务,使它们可以更好的掌握安全性工作人员日常防御力的多种进攻种类。”
将安全意识培训融合到入职流程
S3 Consulting的CEO兼创办人Johanna Baum说,在新进员工的历程中,她们就需要接纳一些观念学习培训。
她讲:“在S3中,一旦根据新员工入职授予资格证书就可以接纳安全意识培训,包含每一个顾客都需要参与。要是没有取得成功进行,她们将难以进行入职流程或一些资金的分派。”
激励职工递交错误提示
电子邮箱安全性企业Tessian的CEO兼创始人Tim Sadler说,每个人都犯错误,“可是大家操纵的隐秘数据比之前任何时间都需要多,例如顾客,会计和员工信息。这代表着即使是最少的不正确,如出现意外将电子邮箱发送给不正确的收货人,都有可能会明显影响企业的信誉。”
Sadler倡导根据激励职工递交错误提示来使安全防范意识更为普及化。
他说道:“企业必须创建一种企业安全文化,以激励职工向IT单位汇报不正确。不然,这种问题将再次产生,并且没法掌握他们的产生方法或缘故。”
根据人物角色和年龄段的目的性安全意识培训
网络安全培训企业Cybrary內容运营主管Will Carlson说,为了更好地使安全防范意识尽量取得成功,安全性管理者必须保证观念项目培训针对终端用户来讲是有效的和有目的性的。
他提议依据终端用户在企业中的人物角色,给予定时的 “以问题为导向的观念学习培训”。
Sadler还觉得,机构还要应对差异年纪量身定做安全培训内容。
他说道:“例如,大家的统计数据说明,在工作上遭受重视对老一辈很重要,因而她们很有可能更不肯坦白自身犯了一个不正确,由于她们不愿丢人。另一方面,年轻的员工对寻求知识更有兴趣,因而人们应当向她们教给网络黑客用于对于她们的技术性,便于她们了解应该怎么办。”
运用多种多样媒体
IT和管理方法服务中心Carousel Industries的CSO和CIO Jason Albuquerque强调,公司理应选用“新零售交货”系统软件来提升网络信息安全观念和教学水准。
他说道:“大家如今向全部职工每月公布2次网络信息安全公示。“全部內容都根据便于掌握和具备教育意义的当代通讯新闻媒体(包含小视频、领域文章内容、电子邮箱、Microsoft Teams信息等)。
Albuquerque表明,他还方案根据应用客服中心技术性、知识库系统和人工智能技术将内容分发方式拓展为包含SMS信息,进而使安全防范意识信息传播更快,更具有目的性。
将安全教育培训“置入”软件开发流程文化中
DevSecOps是一开始就将安全系数置入软件开发中的文化艺术,在很多机构中广泛时兴。可是,即使您都还没执行DevSecOps,也需要考虑到对开发者开展安全防范意识层面的学习培训。
Checkmarx应用软件安全性全世界主管Matthew Rose说:“安全意识培训应该是DevOps的本质构成,而不是附加的独立每日任务。开发者喜爱留到自身喜爱的条件中,假如学习培训使她们摆脱了这类自然环境,她们会以为这也是繁杂而让人气馁的,而不是信息内容丰富多彩和具备激励机制的主题活动。”
Kenna Security的安全可靠和合规管理主管Jerry Gamblin表示:“公司应当花时间基本建设安全管家內容,在其DevOps精英团队中塑造安全常识“部族”,主要包括专业的语言表达安全教育培训、安全支付大会花费或给予与安全性DevOps和编号相关的书本的安全性库。”
安全防范意识带回去
现如今,在线办公早已变成一种转型期,这代表着职工家中其它组员很有可能已经应用同一无线路由器浏览工作中和院校。
Home Access Health Corp.信息科技副首席战略官安全性官,ISACA股东会现任主席Pam Nigro表明:“由于这一实际,我觉得让职工的所有亲人参加互联网安全意识培训十分关键。”
Nigro的队伍建立了简易的安全防范意识信息,供孩子与父母共享,这也是文化教育每个人的拼搏的一部分。
根据云的手机软件服务提供商Datto的网络信息安全主管Chris Henderson表示,他依然还在勤奋协助远程控制职工改进安全性情况。
他说道:“ Datto还一直在为职工给予其居家安全情况的评定,为这些人给予维护无线路由器和节点的协助,以保证 大家新的远程控制自然环境不容易遭到进攻。”
找寻运维安全的安全防范意识“二班干部”
安全性企业Cyphere的常务委员咨询顾问和专业服务主管Harman Singh提议,安全性精英团队必须清醒地去“拉拢”这些激情积极的职工,这将有利于安全性精英团队散播安全防范意识信息内容。
他说道:“如同在办公室开展演练一样,从每一个单位挑选和学习培训安全防范意识“二班干部”,可以与她们联络以协助同伴保证迅速的反映。这也是内部结构更合理的社交媒体专用工具。”
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章