安全意识培训勿忘非正式员工

在服务外包和劳务输出的大环境语态下,很多岗位的正式职位不足,进而造成一些大型机构和行业非常依赖非正式员工,如临时工、协同工、外来工或合同工,甚至情况比私营企业还要严重。不幸的是,合同工作的性质会导致人员缺乏归属感,对某些流程和政策的冷感,特别是当合同工与全职员工不能实现“同工同酬”相同福利的时候。

然而,随着网络犯罪分子越来越多地针对个人用户而非基础设施,全职和合同工都是潜在的网络攻击受害者。因此,合同工也需要受到与全职员工相同的安全培训培训,这一点可以说至关重要。根据工作类型,政府承包商和一线客户支持人员可能会拥有较高的访问权限和如读取客户信息的特权,拥有特定访问权限的人员当然应该知道如何安全地使用雇主的系统。同时,昆明亭长朗然科技有限公司安全意识专员董志军指出:安全意识培训计划对于降低整体网络攻击风险至关重要。在最近针对数千名IT安全专业人员的全球调查中,近50%的受访者认为,在进行安全意识培训后,员工的网络钓鱼侦测技能得到了提升。

由于非正式员工在数据和系统安全方面发挥着至关重要的作用,因此安全意识培训已从“最好有”转变为“必须有”。但是即使员工们拥有网络安全技能,也必须都严格遵循相同的政策和程序,以便采取一致的安全行动和安全措施。

建立全员参与的安全意识培训计划

如何建立一个覆盖包括非正式员工在内的全员安全意识培训计划可能具有挑战性,但是却很必要。如下我们将抛砖引玉,做一些尝试性的探讨。

网络犯罪分子专注于识别组织机构内部潜在的薄弱环节,因此信息安全团队必须尽一切努力消除短板。第一步,应采取以人为本的网络安全教育方法。安全意识培训对所有最终用户都有意义,此外,组织机构还应为受攻击最严重的个人提供量身定制的安全防范教育方案。

要做到这一点,我们应该专注于在适当的时间向适当的人员提供正确的信息。首先,评估最终用户对社会工程攻击的脆弱性;评估整个员工群体的一般网络安全知识水平;确定应在整个机构范围内建立的基本安全技能。通过一些钓鱼测试、调查问卷或摸底考试可以精确掌握。

然后,深入了解并确定最常被网络犯罪分子攻击的人员和部门。一旦确定了其受到攻击的人员,就会找到可能被利用机会和漏洞在哪里。经常受到攻击且经常容易受到攻击的用户群是必须重点受到关注的,属于这两个人群特别是交叉人群更容易受到成功的网络钓鱼攻击、恶意软件感染或更糟的风险。

值得注意的是,这些人员通常会随着特定环境的变化而发生变化。在某些情况下,高阶人员的VIP身份也会使他们成为攻击者的主要目标,因为他们拥有很多信息系统的最高访问权限和内幕信息的决策和优先知情权。

强化安全意识继续教育

实施安全意识培训计划的机构经常忽视频率、灵活性和定制化。不幸的是,仅仅每年进行一到两次培训以“应付检查”是不够的。这种方法不会使网络安全成为常规追求,因此无法帮助最终用户将网络安全最佳实践作为日常习惯。

相反,选择定期交付的培训模块,在短时间内涵盖特定主题更为有效。使用基于计算机的培训平台,它允许组织机构在几乎任何地点提供频繁的按需安全教育,这种方式有助于提高聚焦并对抗训练疲劳。持续进行的正规教育可以做到那些单一的、一年一次的培训无法做到的事情,即保持网络安全在学员心目中的重要地位,而不是年复一年地提供和重新传递相同的内容。

从本质上讲,继续教育计划也比一年一次的培训更灵活,因为它们提供了应对趋势威胁的机会,并使教育优先聚集于当下较为紧迫的威胁。威胁情报不仅在技术方面有价值,这些信息可以帮助我们了解当下的安全新问题,并且可以用于指导安全培训计划。勒索软件等新威胁和最新法规宣传便是各个层面的很好的例子。

安全意识继续教育的方法还允许更大的定制空间,以提供必要的灵活性。并非所有员工都具有相同级别的网络知识或安全责任。尽管有关网络安全基础知识的广泛教育是一个好主意,但基于角色和访问权限提供量身定制的培训同样重要。

最后,网络安全技能还应被视为超越工作场所的生活技能。近45%的智能手机用户表示他们会将个人计算设备用于工作或商业活动,因此越来越需要这些安全技能“永远保持在线”。信息安全团队必须在渐进的步骤中积极地建立安全知识库和改善安全状态。精心设计、周到完善的安全意识培训计划可以做到这一点。

昆明亭长朗然科技有限公司是一家专注于帮助客户提升受众(包括员工、非正式工及合作伙伴人员)安全意识的服务商,我们帮助过多家各种类型、各种规模的客户成功建立和实施了安全意识培训计划。我们也自主开发和制作,并且帮助客户量身定制设计创作了大量的安全意识主题内容,欢迎有兴趣的客户及行业合作伙伴与我们取得联系,洽谈进一步合作事宜。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

安全意识宣教计划漫谈

安全意识培训通常是信息安全管理团队的一项常规工作任务,和“意识形态”、“文化建设”、“责任意识”、“内部沟通”、“洗脑宣传”等似乎无法隔离,所以是个低敏感性的话题。在组织机构中,它往往是员工必须接受的培训之一。然而,特别是对于那些认为自己的工作不会对公司的信息安全产生直接影响的员工,通常会对安全意识培训的抵触较多。虽然很难找到实施安全意识培训的最佳方式,但现实是它已成为企业领域的一项新常态。接下来,让我们一起聊一聊这个话题吧!

安全意识培训的由来和重要性

安全意识培训是什么呢?人们经常强调信息安全的重要性,不管是保障业务成功还是商业竞争力,不管是应对安全威胁还是处置各类商业信息风险,不管是保护机密数据还是保障重要系统,都是信息安全重要性的组成部分。昆明亭长朗然科技有限公司安全意识专员董志军说:人们了解了信息安全的重要性,那么,如何实现信息安全呢?有各种控管措施,不管是监控侦测型、被动响应型还是主动防御型,不管是技术控还是管理控,不管是流程、技术还是人员,都少不了安全意识培训,所以说,安全意识培训是众多管控措施之一,同时也是信息安全领域内的一个交叉流程,它沟通和连接了多项安全控管措施,因此重要性自然提升上来。

为什么有的组织机构搞安全意识培训,而有的组织机构又为什么不参与安全意识培训呢?一般来讲,处于不同信息安全成熟度或发展阶段的组织机构对信息安全意识培训的理解和需求各不相同。尽管如此,在大多数情况下,安全意识培训是一种针对最终用户的培训,通常是每年一次定期提供,通过确保所有员工都了解信息安全最佳实践来降低组织的整体风险。网络安全行业中的人们普遍认为,员工是组织中最容易被利用的攻击媒介。看一看利用社会工程学的网络钓鱼攻击造成的破坏力和普遍性就可以理解这一点。为降低此风险,安全意识培训通常涵盖以下几个主题:基本安全实践、公司政策以及与公司可能必须遵守的相关法规。组织或公司希望通过提供这些知识信息和培训活动,员工能通过提高认识进而来帮助强化组织机构的安全防线。

安全意识计划的最佳实践方法

了解了安全意识培训是什么以及它的实现目标,接下来我们就要讨论如何实施或管理安全意识培训计划。组织通常需要定期运行安全意识计划。董志军表示,通常,建立信息安全意识培训计划有两项外部驱动力:要么是客户要求,要么是监管要求。在这些情况下,组织机构可以很容易地搞一些活动,通常是为了安抚他们的客户或通过相关的审计。这种靠外部推动的思维过程属于“被动响应”。另一种思路是,无论外部压力或要求如何,培训都需要将公司的风险水平降低到可接受的水平。实现和/或维护安全意识计划的这个动机更符合安全意识培训的由来和价值重要性,当然这种发自内在的需求也应该是所有培训计划所基于的精神。

与其它所有可以实施的安全控制一样,组织在意识培训方面有许多选择。两个主流选项是内部培训或采用外部解决方案。内部培训顾名思义,就是组织使用已有的内部资源来开发和提供培训。或者如果已经有安全培训部门和人员,或者如果有预算引入专家顾问来开发材料,这些都是一个很好的选择。外部第三方解决方案随时可用,而且价格合理,但缺乏内部开发材料可能提供的定制化和个性化服务。当然,在两个主流选项之间,也有一些折衷的选择,比如将顾问人员演变成实际上的全职员工,还可以选择混合使用两种方案,即一部分计划活动由内部实施,另一些将由外部专业服务公司, 比如向外部第三方安全意识咨询服务和设计机构提出定制化和个性化服务的需求 。

建立和实施安全意识计划的最后一个考虑因素是需要涵盖的主题。有些组织将他们的安全部门聚集在一起并列出他们能想到的所有内容。其他公司可能会检查其第三方解决方案中的每个主题,以进行内部的匹配。许多专门为满足客户合同协议而设计培训的组织将向客户询问他们在培训中涵盖的主题。最新的外部安全新闻消息和内部安全事件都可能影响培训内容,不过,这些只是常见的情况,并不全面。

一种推荐的安全意识培训战略方法是采用加强评测及互动,这是旨在通过真正的安全教育来使员工变得强大,进而帮助降低风险。一个好的开端是在雇用之时和每年的基础上进行基线培训。不要指望把培训搞成受人欢迎的演唱会或者看大片,那些虽然一时爽,但是严格庄严没什么安全意识培训效果。常规的安全意识培训应该是严肃的针对企业场景的,将涵盖常见的安全主题,例如在离开计算机之前锁定计算机、如何发现网络钓鱼电子邮件等。此种培训应该是大而全的,包括所有相关的内部安全策略、以及公司需要满足的所有监管或合同标准等等。当然,这些内容较多,不需要员工一次性全部学习,可以限定在一个时间段,比如一季度或半年内完成。必须强调的是互动和考评,没有互动缺乏趣味,没有考评的培训会让学员没有学习的压力和注意力。

为了不断加强培训,必须对行业情况保持一定的关注,并定期引入带外培训或其他培训主题。应该考虑适时添加一些独立的培训,主题包括如:网络安全法、GDPR或勒索软件防范等等。最好将外部第三方解决方案与内部资源混合使用。第三方解决方案在涵盖基本主题,甚至在许多通用合规标准方面做得非常出色。同时要知道的是,只有组织自己的信息安全部门才最了解自己,才最知道相关法规政策将给组织带来的特有挑战。

说到外部第三方解决方案和培训主题内容,董志军为您支招:组织应该每年考虑更换外部供应商,这样可以吸取百家之长,弥补其短。同时,对于那些老学员们来讲,使用新内容带来了新鲜感 ,免得枯燥地重复使用某家供应商的内容 ,不仅仅是换了换胃口,更是在帮助提神和开眼。

不管怎么说,安全意识培训的需求是实在的,必须要搞。要把安全意识计划弄得有声有色,当然需要的不仅仅是花钱,还需要有一些方法谋略,希望我们的这些分享能够帮上有需要的潜在客户。同时,昆明亭长朗然科技有限公司是一家专注于帮助客户提升员工安全意识的服务商,我们帮助过多家不同规模、不同行业的客户建立和实施过安全意识培训计划。我们也自主开发和制作,并且帮助客户量身定制设计创作了大量的安全意识主题内容,包括卡通漫画、知识图片、动画短片、视频影片、互动游戏和电子课件等等。欢迎有兴趣的客户与我们联系,洽谈进一步合作事宜。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898