安全意识培训

测试与检查确保安全意识培训成效

admin

网络安全界斗士、奇虎360集团创始人及董事长周鸿祎先生曾经说过:人是网络安全中最重要的因素,人也是网络安全体系中最大的漏洞,保障网络安全也应该从人入手。

人力资源专员们普遍认为人是最复杂的动物,人员的招募、挑选和培训、发展对于一家机构来讲至关重要,对于网络安全行业来讲,从人入手,有很多路径,比如挑选网络安全方面的专业化人才,加强职业化队伍的教育培训,针对全民发起安全意识宣教……网络安全专业人员有天生的因素和后天努力的因素,要获得TA们,在招聘方面要不拘一格,机关单位常用的“讲学历看论文”那一套不能应用于发源草根的靠天分和兴趣的人才获取。而职业化队伍显然是永远不足的,高校教育一直以来走不出阳春白雪的殿堂禁锢,偏重理论指导,缺乏与实践的结合,一直被用人单位诟病,更可怕的也难让人力市场接受的是,高校网络安全知识体系往往比较滞后,慢上产业界半个节拍。

对此,尽管有不少社会机构提供在职的网络信息安全专业培训及能力认证,但培训只是指条路,根本的还是要从业人员的刻苦自学。对此,昆明亭长朗然科技有限公司网络安全分析员董志军称:现在很多大学开设了网络安全相关专业,网络安全及培训机构也推出了很多认证培训,这些都为新人进入行业从业提供了很好的路子,但是不要过度迷信,也不要对此报过高的期望,行业变化迅速,知识体系特别是信息技术的更新换代速度飞快,因此,我们要做好不断更新自我超越自我的准备。参加各种网络安全挑战赛和参加各种机构的面试,是不断挑战自我的一个小方法。

如果简单衡量之后,发现自己并不是网络安全专业人员的料子,也不必自暴自弃。因为如同复杂的科技是为了让生活更简单一样,所有的网络安全专业知识,都是为了让安全变得普及和轻易,而作为网络用户,只需知道必须的安全知识就可以了。举例来讲,在防范恶意代码方面,普通网络用户只需知道必须要安装、启用防病毒软件,并保持病毒代码的更新,不开启陌生的可疑的文件,而不必要深究某个病毒到底有什么特性,会怎么变种,传播机理等等高深的技术知识,那些交给病毒研究专员们去搞就行了。

要让普通用户武装起来,就需要为其进行安全意识赋能,安全意识培训是企业机构最常用的方法,安全意识培训是对员工进行适当的信息安全最佳实践、策略和一般准则教育的过程。安全意识培训应该是一个持续不断的过程,该过程教会员工如何最好地保护自己和企业机构免受潜在有害威胁的侵害。在增强员工知识的同时,提醒员工安全漏洞可能造成的影响,应成为每家组织机构整体安全实践的核心支柱。

网络安全专业从业人员可以强制用户使用复杂的密码、使用硬盘加密并使用多种不同目的的安全应用程序,但是,除非能解决安全问题的主要原因(员工、用户),否则这些都发挥不了就有的效力。尽管通常不是恶意行为,但是由员工引起的安全事件非常普遍,统计表明:仅仅由于网络钓鱼攻击原因造成的数据泄露便占据了所有数据泄露的45%。除了技术手段外,全面的安全意识培训计划对于您的总体安全计划至关重要。尽管许多企业机构经常举办正式的培训研讨会、发送电子邮件更新甚至对员工的整体安全知识进行测试,但存在一个问题,即……这些安全意识活动真的有效吗?

管理学家说,没有衡量,便没有效果。对此,亭长朗然公司董志军表示可以借用,即没有对员工们安全意识的检测,安全意识活动就没有效果。安全意识培训的成本可能很高。考虑到员工需要投入的时间,许多管理人员对于批复安全培训资金持谨慎态度,因为很难知道安全意识培训是否真的有帮助。好在,企业机构通过密码安全测试、网络钓鱼模拟测试、社会工程学测试以及现场巡查检测等手段,可以获得其安全意识培训计划上可量化的统计数据。

密码安全测试

密码是安全基石之一,但是许多员工经常忽略创建强密码的提示和准则。测试员工们的安全意识培训计划的一种快速而廉价的方法是让第三方安全团队进行密码枚举测试。密码枚举测试是指受过训练且合格的安全专业人员像黑客一样,尝试使用常见的黑客方法(例如字典攻击和蛮力破解),以发现员工们的密码。该测试的结果以易于执行的报告的形式出现,该报告向人们显示在测试期间发现了多少个密码,以及员工在创建密码时出了哪些问题。这将帮助组织机构的安全团队在有需要时使用更强大的密码策略,并知道在哪里可以更好地集中精力进行下一次安全意识培训活动。

网络钓鱼模拟测试

网络钓鱼测试是模拟的网上诱骗电子邮件、钓鱼网站、电信诈骗、钓鱼短信和消息等,试图诱骗员工打开可能是欺诈性的邮件、单击链接,然后在伪造的登录页面上输入登录信息,这些伪造的登录页面看起来像真实的。这些邮件和消息似乎来自已知来源,例如公司总裁、知名员工或客户、社交媒体网站、甚至是银行或政府实体。这些模拟利用了通用的安全最佳实践准则,这意味着对信息安全有充分了解的员工应通过测试。这些模拟非常有用,因为它们可以通过报告谁受测试欺骗,包括谁登录了模拟的页面上并输入了他们的登录信息,从而清晰地描绘出一家组织机构的整体安全意识。

社交工程攻击测试

社会工程是指网络罪犯使用各种手法诱骗员工安装恶意软件或泄露私人信息。社会工程学的一种常见形式是通过包含恶意软件的U盘或闪存驱动器公开或留给他人使用。不近近年来,由于云存储和文件分享的越来越方便,U盘攻击已经有些过时了,但是许多人仍然会将关键和敏感的数据保存在U盘或USB硬盘上。

“扔U盘”是社会工程攻击测试的一种形式,事先在U盘中安装“侦测”软件,然后将U盘遗留在区域内外或设施中的普通位置,例如停车场、休息室、洗手间、会议室甚或员工办公桌上。安全意识不够的员工们会将U盘插入到计算机中,组织机构的安全管理人员就可以通过软件及时知晓,那些员工就是没能理解如何安全使用未知USB驱动器的危险的员工。

假装成特定的人员对员工们发起网络钓鱼测试通常也被认为是社交工程攻击的一种,在此前我们简单聊了,这里可以强调一下社会工程的目标不仅仅是账号和密码,还包括各种内部敏感信息,甚至银行转账。

现场巡查检测

现场巡查检测是信息安全审计人员最拿手的工作了,许多安全性违规源于常见的错误,例如,不锁定桌面就离开座位、将敏感文件长时间留放在打印机里、开完会后让机密信息残留于白板上等等。一名训练有素的安全顾问只需到办公室走一走,便能发现很多诸如以下的安全问题。

  • 是不是很容易尾随他人进入办公区?
  • 是否看到无人看管的桌面上留有手机、U盘以及机密文件?
  • 是否看到已登录且无人看管的电脑?
  • 打印机上是否有无人看管的敏感文件?
  • 设施内的承包商是无人看管还是没有访客证章?
  • 员工是否使用未经批准的文件共享方法?
  • 是否有人出于工作目的使用未经认可的私人设备如平板、手机、U盘等?
  • 员工会携带计算设备或敏感材料回家吗?
  • 员工们会在内部公共区域讨论敏感甚至机密信息吗?

最后,请记住,保障安全是所有人的责任,但需要安全管理人员来推动,只有衡量,才知成效。测试与检查确保安全意识培训成效的关键措施,因此请确保尽早发起安全意识培训提高活动,并不断进行安全意识的检测。如果您需要安全意识培训方面的帮助,欢迎不要客气地联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

建立安全意识计划的三步实战

admin

旨在保障安全的信息技术要比有史以来的任何时候都要先进,与此同时网络安全事件的数量也在不断地创造历史上的新高,如何解释这种悖论呢?昆明亭长朗然科技有限公司安全宣教专员董志军表示:原因其实很简单,人为因素。在国家宏观层面,网络安全靠人民,在单位微观层面,网络安全靠职员,这个道理前些年被安全技术专员们不屑,但最近几年,由于人为因素所直接导致的安全事件高达65%,于是重视员工的安全意识,防止人为错误几乎取得了业界人员的高度认可。

如何应对人为因素造成的网络安全事件呢?在昆明亭长朗然科技有限公司,我们开发了修复“人为错误”的安全意识课程以及安全培训平台,因为对于我们来说重要的是,人员在当今的业务安全环境中扮演着越来越重要的成分。

同时,我们认识到:如果员工们不了解或不认同工作环境中围绕他们的众多安全问题;不了解保障信息安全性的最佳做法;不知道安全事件发生时如何正确应对,那么即使是再好的安全技术平台也将没有办法发挥价值。

在我们以前的博客文章中,我们多次写过如何让员工们成为安全大使、安全达人,并谈到了赋予他们参与安全行动的能力,我们也提到一些建立信息安全意识计划的指导性方法。随着时代的演进,我们需要再进行一些回顾和更新,温故而知新,以融入时代精神,在安全意识宣教领域,不断突破和创新。

废话少说,让我们给您一些有关如何在组织中设置安全意识计划的实用指导。目标是停止将安全性视为由专业人员处理的一系列一次性事件或活动(通常是在事件发生后对事件做出反应),并建立一种积极主动的普遍文化,使员工可以识别安全风险并自行采取措施或酌情升级上报。

构建安全知识库

我们要创建一批员工们需要知道的安全知识库,并在他们需要有关安全问题的信息时进行查询。具体内容可以包含与安全相关的标准、政策和程序。

记得,知识库的建立和完善是一个永远在路上的工作,所以不要等到有了完整的指南后再使用它,否则您将永远不会发布任何东西。从您拥有的内容开始,并在进行过程中不断添加信息。如果有方法可以审查和批准内容的准确性和适当性,您甚至可以鼓励员工提供材料,或者外购通用知识库进行匹配性适用性修改。

我们建议您以电子书或百科的形式发布,因为这些形式比纸质指南更容易更新。如果您决定使用百科,那么员工也可以轻松提交内容。使“知识”易于访问的关键是建立良好的导航和可用性帮助,以及主题关联、链接和详尽的索引。

核心的知识内容应包括:

日常安全实践的最佳做法:包括有关密码安全、桌面清洁、软件下载和安装、个人设备使用、远程工作等主题的政策和最佳做法。

例如,如果某个员工想知道如何下载和安装新软件,请告诉他们如何确保该软件是合法的,如果有需要,可以向谁寻求软件安装许可。

关键联系人:包括紧急事件响应小组成员的姓名和联系方式,以及有关联系时间的指导。

与安全相关的政策和程序,包括安全政策、标准、指导和作业流程,如桌面安全检查标准、差旅安全自查清单、计算机上线安全指南等等。

常见问题解答:提供有关最重要和最常见的安全问题的信息,并提供详细讨论的链接。

设置实时安全沟通

安全“知识库”是不断发展的参考性信息,我们还需要使用各种内部沟通工具以建立更多理解和互信,安全部门“自言自语”肯定不是我们想要的结果。我们建议建立和优化两个沟通渠道:一个用于使员工与可以快速回答安全相关问题的人员保持联系;另一个致力于需要升级的紧急安全问题。

很多机构都有IT服务管理渠道,可以将安全问题用户入口纳入到IT帮助台(呼叫中心)职能内,将紧急安全问题的应对转移到专业安全技术人员。这样,即提高了快速解决安全问题的效率,又能让员工们随时得到一般安全性疑问的解答。

安全意识培训活动

安全“知识库”和沟通渠道是安全意识基础架构的关键部分,此外,我们还需要使用更多动态且引人入胜的方法来将重要安全认知推给员工们。

普通员工不想参加有关信息安全的讲座,特别是80后90后,与其建立沟通和信任的好方法是使用线上培训和线下活动。

培训活动可以涵盖了一系列的安全意识主题,使用模拟场景效果最好,可以在模拟场景中进行演示,这样可能会更有帮助。一切活动都是为了使其变得更加真实和吸引人,这样员工们就越有可能吸取教训并将其应用到实际工作之中。

这些安全意识培训活动的真正价值在于营造开放式交流的文化。对些,昆明亭长朗然科技有限公司董志军强调说:员工们可以通过活动更多思考安全,他们知道的越多,就越会观察和分析,也只有这样,方能做好准备以防止安全事件或在事件发生时做出正确的响应。

安全意识培训活动的举办周期和频率可以自行灵活决定,一般在业务淡季多举办一些,特别日子如假期前举办假期安全课题。一般来说,年度一次全员安全意识电子学习刷新,每年配合国家网络安全周搞一次线下宣传活动,每季度搞一次安全意识主题交互活动和测试,每周发放一些安全动画视频和安全小提示,这些都是在采取努力将安全融入实际工作,安全搞上去了,隐患就会慢慢消失。

活动中需要宣传的内容很多,可能包括:云存储、无线网络安全、差旅信息安全、双身份身份验证、移动应用安装等等话题,当然也应该发布网络犯罪的新趋势,例如最近的增长趋势,新出现的勒索软件、新的社会工程骗术、网络钓鱼邮件的新手法等等。

小结

根据木桶理论,组织机构的安全性取决于安全能力最弱的员工,因此针对员工们的安全培训至关重要。通过创建“安全意识计划”,您可以为持续的安全学习和沟通计划奠定良好的基础,同时不会使员工们负担过多的安全信息。如果安全能成为所有人心智的一部分,则可以合理地期望安全态势得到强化。

使人们尽可能轻松地安全地完成工作,就需要我们为安全问题和疑虑的提出敞开大门,使用“安全知识库”、“安全沟通渠道”、“安全意识活动”这三驾马车来护航。这样,组织机构和员工们就不容易受到“我不知道”的内部威胁。这样,安全专业人员就可以将更多精力用于就对外部威胁。

最后,要确保安全“意识计划”深入到企业文化的各个方面,需要从员工入职到离职的整个生命周期中,不断进行安全认知的刷新和改进。昆明亭长朗然科技有限公司帮助各类型的组织机构,包括各机关单位和公司企业,建立适用的安全意识计划,我们提供全面的多种形式的安全知识内容和在线培训,欢迎有兴趣和需要的客户及伙伴们联系我们,洽谈安全意识方面的采购与合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898