网络安全培训就安全风险的识别、安全漏洞的应对和安全最佳实践对员工进行培训。在网络安全业界,即使技术型的公司也不得不承认,组织机构的头号弱点就是员工错误。黑客越来越多地使用更复杂的网络钓鱼和社会工程技术来瞄准员工,使员工更难辨别工作数据所面临的威胁。意识培训,也只有意识培训是保护组织机构免受此类威胁行为者侵害的重要组成部分。对此,昆明亭长朗然科技有限公司网络安全研究员董志军称:随着网络攻击频次的增加,从第一天开始,安全意识培训就应该成为新员工入职培训的一部分。
通过安全意识培训,组织机构被黑客攻击的可能性将会降低,安全漏洞的成本也会降低。如今,重要的不是贵司是否会被黑客攻击,而是何时会被黑客攻击。统计称:网络罪犯越来越多地以中小型机构为目标,一次网络安全事故的平均成本为18万元,包括直接停工影响、经济损失、信誉损失、重建成本等等。问题并不会立即结束,通常来讲,一旦遭遇一次安全事件,再次发生的可能性就会大大增加,超过一半的中小型机构在发生安全事故后的半年内惨遭倒闭的命运。
那么,我们应该在新员工培训中涵盖哪些安全意识培训主题呢?
首先,要了解的基本概念是对网络安全的介绍,从本质上讲,网络安全是什么、为什么安全很重要,以及当黑客不断尝试以组织为目标进行攻击时会发生什么。在这里设定期望很重要,展示组织对网络安全的重视程度,并将其引入正在进行的员工培训计划中。
其次,员工失误是当今网络安全事件的最大因素,因此定期进行员工培训,尤其是针对网络钓鱼电子邮件和社会工程学的培训,对于良好的安全性来说是非常宝贵的。拥有强大的安全培训可以为组织机构节省资金,提高声誉并避免很多压力。
再者,评估员工们的知识和行为,管理专家称“没有衡量就没有绩效”。一项重要的网络安全培训技巧就包括衡量安全意识计划是否成功,可以等待并在实际攻击期间衡量员工们的安全绩效,也可以谨慎行事,先进行模拟进攻。强烈建议使用虚假的网络钓鱼邮件流并且检查员工们的实际响应。此外,基于场景的模拟评估在评估学习者的知识方面非常有效。策划一场社会工程和网络钓鱼攻击,看看每位员工会如何回应,员工们是否仔细检查电子邮件的发件人?在收到自称的权威人士来电时,他们是否泄露敏感数据呢?还可以与第三方合作检查物理安全的准备情况,检查安保人员是否允许没有身份证明的人员进入,或者检查员工在内部专用区域看到无人陪伴的访客时会作何反应。
更进一步,加强安全意识反馈循环,评估学习者对网络安全概念的正确理解,评估安全意识培训活动的绩效,并根据指标结果,不断改进培训计划。通过系统,检查学习者的课程完成状态,可以建立一个记录所有员工的所有安全事件的数据库,对于研究数据以确定常见的攻击点和员工的弱点来讲,这很重要。然后,相应地调整培训计划,甚至可以在不透露相关人员的情况下创建这些事件的案例研究。
最后,加强互动式的沟通,由于安全意识内容不断变化,听取员工们的反馈意见就非常重要,了解他们喜欢什么和不喜欢什么。这不仅仅是为了获得对内容的反馈,更重要的是获得关于员工想要和需要了解更多内容的反馈。当涉及到安全意识时,这一点常常被忽视。在运行安全意识计划时,不倾听员工的意见是一个巨大的错误。持续获得定期反馈,尤其是从新员工那里获得反馈,是与员工发展关系并强化安全文化的好方法。
让我们结合一个快速的案例研究,来简单探讨信息安全意识培训的实践经验。一家著名的金融科技服务公司花了半年的时间,建立了一套强大的网络安全意识培训框架。学习与发展团队(培训部)与招聘团队(人力资源部)合作,在入职流程中加入网络意识培训课程,该课程以讲师在课堂简单介绍网络安全开始,以讲师布置线上电子学习任务结束。通过安排学员在一个月内通过电子学习的方式进行,讲师节省了课堂培训的重复性工作时间,学员们被要求在学习之后通过在线测试考核,这促使学员们在压力下认真参与在线知识内容的学习。
在针对全员的年度培训内容方面,学习与发展团队和信息安全团队一道,与昆明亭长朗然科技有限公司一起,共同参与了全年培训计划的内容创作。培训方式以在线电子学习为主,同时,使用模拟网络钓鱼练习来评估学习者的理解程度。网络钓鱼模拟测试是安全意识培训计划的重要组成部分,旨在使用真实的场景来测试员工们的安全意识。高管们的预测结果令人吃惊,只有35%的高管或总监级人员具备基本的网络素养。正因如此,学习与发展团队为高管和领导者设计了专门的培训项目和研讨会,带有互动游戏元素。高级管理人员发现定制的培训计划和研讨会很有见地,并坚信培训计划将帮助他们自信地做出有关网络风险的决策。接下来,安全意识培训委员会鼓励管理人员就网络安全的重要性和日常实践,在公司范围内进行讨论。这就使培训获得了管理层的普遍支持,在高层的承诺和示范效应下,全员培训计划的推进非常顺利。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com