构建员工安全意识计划

人们常说,员工培训和意识是成功的网络安全计划的关键组成部分。组织持续面临各种网络风险,其中包括勒索软件、网络钓鱼、内部威胁和不断变化的网络威胁格局,通过安全意识计划建立和维护信息安全意识对于组织的进步和成功至关重要。对此,昆明亭长朗然科技有限公司网络安全宣教专员董志军表示:在大多数情况下,员工们知道数据在哪里、如何使用以及如何访问数据。除了极少数奇葩的个例之外,员工们通常都有很好的动机来保护这些数据的安全,这是安全的关键成功要素。但是,仅仅有良好的意愿并不足够,在日常实践和处于攻击前线时,员工们通常是最薄弱的环节。此外毫无疑问的是,今天我们所面对主要威胁,明天可能就已经过时了,如同有些攻击已是昨日黄花但是新的变种攻击却不断出现一样。因此,网络安全培训要保持不断的改进,以便能应对新威胁,适应新环境。通过建立稳健并且获得正确实施的安全意识计划,可以帮助组织在组织内进行安全意识的教育、监控和持续维护。

组织信息安全面临的最大风险之一通常不是技术控制环境中的弱点。相反,可能导致安全事件的是员工和其他人员的乱作为或不作为,简单说,就是人为的因素。举例来讲,通过披露可用于社会工程攻击的信息、不报告观察到的异常活动、访问与用户角色无关的敏感信息、没有遵循正确的程序等等。因此,组织必须制定安全意识计划,以确保员工了解保护敏感信息的重要性、应该如何安全地处理信息,以及信息处理不当的风险。员工们对敏感信息处理不当的组织和个人后果的正确理解和认识,对于组织的成功至关重要。潜在后果的示例可能包括监管机构对组织的处罚、组织和员工的声誉损害,以及员工工作所受的影响。重要的是要启发工作人员思考潜在的组织危害,详细说明这种对组织的危害如何影响他们自己的角色和职责。一句简单的话很容易理解,那就是“由于网络安全原因,单位效益差了,自己的收入也会锐减,同样,假如有一天组织倒了,自己的饭碗也没了。”

那么,组织安全意识活动,需要哪些关键工作呢?通常来讲,成功的安全意识计划可能包括组建安全意识团队、制定基于角色的安全意识目标和计划、构建适当的安全意识培训内容、以及实施及改进安全意识交流计划。这其中最重要的无非是安全意识内容及实施战略方法。

在团队组织建议,通常,帮助协调和提供安全意识培训的角色是IT主管、CISO或其他IT或安全专业人员,让组织的合规经理、COO甚至HR帮助协调内容发布的情况也并不少见,因此,我们建议让多个部门参与构建和管理安全意识培训计划。

在安全意识内容方面,培训的一个关键方面是确定内容的类型。确定组织内的不同角色是开发适当类型内容的第一步,还将有助于确定应包含在培训中的信息。有效的安全意识计划的关键是及时有效地向适当的受众提供相关内容材料。为了有效,沟通渠道还应该适合组织的文化。通过多种沟通渠道传播安全意识培训,组织可确保受众以不同的方式多次接触相同的信息,这会极大地改善人们记住呈现给他们的信息的方式。内容可能需要根据通信渠道进行调整,例如,电子公告中的内容可能与讲师指导的培训研讨会中的内容不同,即使两者具有相同的基本信息,使用的沟通渠道应与接受培训内容的受众和内容类型以及内容本身相匹配。

培训材料应该适用于组织的所有领域,安全意识和培训材料可以由组织内部开发、改编来自专业机构的作品或从供应商处购买,有专业的安全意识供应商准备好的课程内容材料,例如基于网络的培训(电子学习)、海报图文和电子通讯(期刊)等等。无论是自制内容、委外开发还是采购标准素材,都是可以的,只是不同的战略选择而已。一般来讲,中小规模的组织,以及大中型组织的初期早期安全意识活动,可以对外采购标准素材,然后逐渐过渡到委外定制开发或自行创作。

在实施方面,建议将安全意识的交流纳入新员工入职流程以及现有人员的角色变更(转岗)中,安全意识培训可以与组织的其他要求或管理制度相结合,例如保密协议和道德规范,应根据所需的数据访问级别来确定组织中的每个职位的安全意识角色。当受众认识到安全意识培训与雇佣条件、自身的日常行为和绩效密切相关时,会更加认真地参与学习,而不是像个旁观者一样。

电子通信方法可以包括电子邮件通知、电子学习、内部社交媒体等等,重要的是将电子安全意识通知定位到适当的受众,以确保信息被阅读和理解。通常来讲,面向全员的电子通知更容易被忙碌的人员忽略或忽视,而电子学习则可以将材料和沟通渠道定位到相关人员,以通过学习报表或检测,获得强制性的参与,这样安全意识团队可以提高安全意识计划的采用率。

非电子通知可能包括海报、内部邮件、时事通讯和讲师指导的培训活动等等,涉及人员积极参与的现场安全意识活动可能非常有效,不过讲师引导演示中,观众规模很重要,通常群体越大,内容可能无法有效传达的风险就越大,因为如果个人感觉不到参与,就可能会失去对所呈现材料的关注。一般来说,人员在个位数的内部研讨会、午休时间提供的培训和员工社交活动都是安全意识团队与人员互动和介绍安全概念的绝佳机会。在小型活动中,能过安全案例“讲故事”的方式非常有效,记住永远不要让事实妨碍一个好故事,安全人员喜欢深挖事实,但是事实往往不能支持一个好的故事,而且只会让培训偏离主题,变得更糟。

必须要讨论的一个安全意识话题是网络钓鱼。大多数员工以前都听说过钓鱼这个词,但并不像想象的那样熟悉如何防御网络钓鱼攻击。这甚至是可预期的时间内最重要的网络安全话题之一,因为员工们几乎每天都会面临网络钓鱼危险,尤其是在新员工入职期间,黑客可能会通过冒充组织中他们从未见过的同事来发起攻击。例如,社交媒体诈骗在不良行为者中越来越流行,他们会在社交媒体上监控一家目标机构,只等着看到新员工加入,然后假装是组织中的高层,指示新员工泄露内部机密或者购买某些东西,因为新人往往急于给他人留下好印象,所以可能会很快做出反应,而不会认出该骗局。

从培训体系结构上讲,网络安全意识素养应被视为对每位员工的强制性培训,通过这种方式,整个组织都参与并投资于员工安全培训和活动的成败。在此,强烈建议定期对员工进行网络安全基础知识培训,例如网络钓鱼电子邮件、数据机密性、数据泄露和恶意软件。

根据一份报告,尽管网络犯罪率不断上升,但是组织每年在平均每名员工网络安全培训上的支出仅为9%左右。这表明:建立安全文化不是一蹴而就的。安全不应被视为事后的想法,而应从第一天起就被视为组织文化的一部分,持续的安全意识培训应该成为员工发展培训计划的一部分。

此外,安全意识是一个每天都在变化的话题,并且在员工每次与技术互动时都需要放在首位。为了保持员工全年参与,我们应该考虑每月发布新内容,越频繁地为员工提供新的安全培训内容,谈论安全的话题就会越普遍,尤其是在活泼有趣的情况下。因此,安全意识培训应该作为一项持续的计划进行,以确保培训和知识不仅作为年度活动提供,而是用于每天保持高水平的安全意识。

昆明亭长朗然科技有限公司专注于网络信息安全意识培训服务,经过多年的创意制作,我们设计出一套系统化的网络安全微学习内容,包括24部主题,每个主题大约5分钟。组织机构可以每两周或者半个月使用一个课题,对全员或特定群体的员工进行在线培训。同时,我司提供稳定可靠的在线培训平台(电子学习管理系统)服务,中小型机构可以立即发起安全意识在线学习活动,让学员随时随地开始安全营养的吸取和安全漏洞的修复。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。