提升安全意识构建人员防火墙

强大的安全系统不仅仅包含硬件或软件,也必须始终有人员防御元素,毕竟硬件和软件要实施于用户,要对人员产生影响,同时也要人员来操控。此外,安全管理需要有投入和产出,即通过制度流程,让“不安全”变得“安全”,制度流程作用于人员,人员受到安全规章制度的影响,是安全流程的推动者、实施者和受影响者。对此,昆明亭长朗然科技有限公司网络安全管理专员董志军补充说:安全管理是流程(制度)、人员(能力)和技术(设备)三者的有机结合,所谓的“人员防火墙”是安全意识中的一个概念,它使团队能够以主动和被动的方式对抗黑客。

“安全意识”一词通常用于指广泛的教育、交流和行为管理活动和学习成果。这些活动和成果包括:遵守法规和政策;支持纪律处分;增加员工对威胁、风险和安全选项的了解;改变和维护员工的安全行为。最初,“安全教育”一词来指代提升安全能力并激励员工为自己和组织做出符合企业安全绩效目标和期望的安全决策的总体活动和目标。威胁意识和缓解措施是安全教育计划中的一种可能工具。直接行为调节是另一种形式的安全教育,涉及海报、竞赛和广告式消息的电子邮件或推广活动也是如此。

“人员防火墙”的定义相当简单。它本质上是一组员工承诺遵循最佳实践以防止和报告任何数据泄露或可疑活动。在您的组织中,承诺成为防火墙一部分的员工越多,防火墙就越强大。请记住,人员防火墙与安全专员的不同之处在于,安全专员更多是关于职业化的队伍,而人员防火墙包括全体人民群众战线,当然也包含安全专员队伍。最新报告显示,25%的成功黑客攻击是由粗心大意或简单错误造成的。软件也会出错,有时允许网络钓鱼消息通过正常通信或标记正常通信。增加人员防火墙这一额外的安全保护层,其根本原因在于许多违规行为是由于员工错误造成的。与之相对,警觉的人员可以看到软件遗漏的潜在危险并且可以防止发生错误,因此,安全防范体系要全面,人员防火墙必不可少,只有全员的强大,才能保障体系的成功。

要使人员从“弱点”变成“长处”,需要拥有涵盖从密码创建到移动设备的所有内容的长期、详细的安全策略。不过,这是一个缓慢的过程,要修复人员漏洞,强化人员防火墙,需要一个课程一个课程地逐一行动。很多公司一年只进行一两次安全意识培训,这显然是不够的。人员防火墙教育应该是持续的,在新威胁出现时及时更新和传递简报讯息,在有新进人员时,或更换职位时,以及每季度都应进行刷新教育。教育不能是填鸭式的,要通过激励措施,鼓励职工们积极参与人员防火墙,对每个捕获网络钓鱼电子邮件的行为给予特别的精神认可,用一些物质奖品或其他奖励来增加关注度和趋向性,一项研究表明,公众归因和验证是参与的强大激励因素。

要让全员加入人员防火墙,亦需要鼓励高管做好榜样,此外,高管们也经常会成为窃取身份的鱼叉式网络钓鱼诈骗的目标。人性化非常重要,安全专员们应尽最大努力帮助其他员工解决网络安全问题,从而帮助改变文化和行为。员工们是活物,有情感,工作时,要避免像对待机器一样对待员工,笑谈之中感染了安全知识和理念,才是真正能够影响企业安全文化的上策。

牢记,建立人员防火墙应对外部黑客及内部麻痹,如果持久战一样,是一场持续的战争,因此必须确保所有防御系统始终处于高度戒备状态。要定期进行检查,可以考虑使用网络钓鱼模拟程序,该程序可以向毫无戒心的员工发送虚假电子邮件,并查看是否点击了任何链接。如果有职员中了虚假的网络钓鱼骗局,请与此职员进行更详细的安全意识交流。网络安全博弈是永无止境的,人员防火墙应该对新威胁保持警惕,启示员工们及时报告任何可疑活动。随着外部动态环境和安全策略发生变化,安全团队也必须将新的最佳实践纳入到信息安全管理体系和人员防火墙系统之中。

对于有兴趣的交易商或培训机构,使用贴牌方式即可拥有自己的产品线。一种简单快捷的方案是购买我司(昆明亭长朗然科技有限公司)创作的从未出售过的作品,即通过转让方式,获得作品的所有权;另一种方式是采购共享产权的通用型作品,作品中添加贵司独特的Logo,以增加作品的权力归属特性,防止恶意盗取。我们现有的课程包括并不限于:

  • 数据安全与个人信息保护
  • 社会工程学防范意识培训
  • 网络安全法规科普
  • 通用信息安全意识
  • 企业信息安全意识
  • 公司商业保密培训
  • 安全意识水平测试服务
  • 员工网络钓鱼服务
  • 信息安全刷新视频系列

有足够预算的组织机构可以考虑定制课程以满足业务需求,对于安全培训、企业培训相关机构来讲,您可能想扩展产品线,增加信息安全意识服务。我们可以帮您打造自有品牌的培训和宣教内容作品。如果有较为成熟的作品设计方案,我们可以帮您进行作品的进一步创意和内容制作,这样您将拥有作品的全部知识产权。课程内容创作提供全面的国际化和本地化语言支持,以帮助跨国客户服务多语种的员工。翻译工作可由贵司的海外人员自行进行,我们提供原始语言版本;也可以由我们进行全包。我们曾经为客户提供过的一些课程语言定制包括:汉语、英语、日本语、越南语等等。我们提供定制化设计创作的课程课件内容形式包括并不限于:

  • 配音讲解
  • 动画故事
  • 真人视频
  • 动态字幕
  • 测试考题
  • 多种交互
  • 品牌元素
  • 在线签署
  • 电子证书

总之,人员防火墙是防御网络攻击或各种类型的阴险入侵者的堡垒防御中的重要一层,是网络安全TCP/IP协议的第八层。通过合作,人民群众(职员们)可以识别威胁并防止数据泄露或减轻损害,进而与正规安全部队一起,构建起组织的人员防火墙!昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。希望我司的精致作品和卓越服务能够帮助各类型的组织机构,快速成功建立人员防火墙。

人力资源应留意员工安全培训创新

近些年,大国之间矛盾和冲突不断,这造成世界局势的不太平,甚至危险重重并蔓延至信息网络领域。在互联网和信息科技领域,安全漏洞泛滥成灾,熟练的网络犯罪分子窃取私有数据并破坏组织机构品牌声誉的安全事件导出不穷。一连串的勒索软件攻击便是网络攻击泛滥成灾的最新例证,这一系列攻击使高阶领导层甚至董事会在整个业务环境中感到不轻松。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:要确保组织的信息资产免受安全漏洞的侵害,远不是实施IT安全漏洞修复工作计划这么简单。很多安全人员认为及时向所有的系统安装最新的安全补丁,就可以高枕无忧了。

首先没错!组织知道他们需要投资于安全性,特别是及时修复已知的系统安全漏洞(弱点)。但是同时,许多人没有意识到当下的安全已经远远超出了正确的技术产品范畴。那就是“人员”一直在安全中起着举足轻重的作用,以至于许多IT团队将员工称为网络犯罪的“薄弱环节”。即使是采用最佳实践做法来实现了系统的安全性,仍可能会因为一名遭受网络诈骗之类的社会工程攻击的职员而全盘失效。单独一项安全事件就可能使公司陷入混乱,从勒索软件的噩梦到大规模的数据盗窃出售、从在公共场所无意的夸夸其谈到恶意的“删库跑路”等等,都暴露了“人员”弱点的杀伤力,损害组织、员工和客户的机密、隐私和利益的,不再只是微软的某个高危软件漏洞了。

当前,大多数公司仍将安全严格视为IT责任。但是,所有涉及到“人员”的问题通常都是人力资源问题,尤其是在培训计划方面。对此,董志军强调说:要解决“人员”弱点方面的安全问题,就要让安全意识培训应成为组织文化的重要组成部分。

要想有效地防范当前风险,针对人员的安全意识培训必不可少,甚至可以发挥关键作用。不可否认的是,安全政策和程序仍然很重要,但是也需要对员工进行培训以让其遵循这些政策或程序,否则它们将毫无意义。考虑到有组织的网络犯罪日益复杂和强大,安全意识培训就显得尤为紧迫。欺骗性电子邮件地址可以让员工们认为他们收到了上司甚至CEO、CFO的请求。很显然,忙碌的员工们往往会在不知不觉地落入网络钓鱼骗局。我们需要一些新的安全意识培训计划来提高人们对这些社会工程学攻击策略的认识,这就是最近一份调查中,86%的受访者将安全意识培训评为抵御勒索软件的最有效方法的原因。

企业教育专家表示人们可以通过三种方式学习新知识:一、主动了解新事物;二、观察研究他人在做的事情;三、通过犯错来学习。当前的安全意识培训通常会利用最新动态。由于许多老式的合规性驱动性安全意识培训已被证明为效果不佳,因此现代的安全意识培训计划通常会模拟对员工群体的网络钓鱼攻击,以查看点击人员的百分比。这是一门更令人难忘的针对性安全培训方案,可以帮助员工认识到自己的弱点,并克服之。

成千上万的IT和安全团队发现这些方法非常有效。然而,许多人力资源和法律团队对实施此类计划表现出犹豫不决,他们经常担心,这种培训方式涉及“伪装”和“欺骗”手段,与他们正在尝试建立的积极文化相冲突。他们觉得某些员工在单击自己公司创建的电子邮件中的错误链接后可能会感到不适或尴尬。

但是这真的令人不适或尴尬吗?通常,在员工遭受模拟攻击后,他们会看到类似屏幕的内容:“糟糕,您容易遭受网络钓鱼攻击。”他们常常在那一刻会意识到,模拟的网络钓鱼式意识培训使他们免受实际攻击所带来的痛苦,从而避免对其个人身份和公司数据造成潜在的灾难性后果。实际上,当许多员工看到诸如欺诈性域名,伪造的网银通知和感染了恶意软件的文档之类的狡猾犯罪实例时,他们会给出积极的反馈。接受安全培训后,这些员工们会积极地与家人和朋友分享学到的信息。安全不仅仅是业务问题,大多数员工也关心对其个人身份、隐私和资产的保护。

残酷的现实是,现实生活中的恶意行为者确实会采取欺骗手段针对个人和家庭用户。人力资源团队可能会犹豫采用这种模拟式的钓鱼培训,但是如果不能为其员工做好准备,他们可能使组织比以往任何时候都更加脆弱不堪。通常,那些起初拒绝这种创新的“激进”的模拟钓鱼式安全意识培训的组织最终会在遭受攻击后以某种方式要求重启安全培训。不过那是不幸的,因为组织已经付出了很高的代价,所有参与了真实数据泄露的员工也都可能会感到内疚、不安和歉意。

尽管我们建议人力资源部门主动发起安全意识培训计划,还有一个好处是可以帮助公司提供针对此类威胁的合理保护方面的努力证据,员工安全培训记录便是尽职尽责的工作证明。因此,安全意识培训也是防止诉讼的必要条件。

以某科技公司为例,该公司人力资源部门的一名员工受到社交工程诈骗,将公司员工详细目录清单发给了网络犯罪分子,造成两名员工受到电信诈骗和网络钓鱼,该两名员工各自损失了几十万后控告公司没有保护好他们的个人联系信息。公司如果早点实施这方面的模拟网络攻击培训,不仅人力资源部门的员工能防范社交诈骗,更能帮助员工们识别出常见的电信诈骗和网络钓鱼伎俩,还能防止惹上官司。

最终来讲,组织机构的安全实力和文化都可以通过他们在培训方面上的投入来进行评估。担心模拟网络钓鱼培训会带来相关的不适和尴尬的人们可能正在让事情变得更糟糕。因此,以现代方法对待员工人力资源的组织将会把信息安全和数据保护以及员工的福祉列为优先培训事项。

当IT、安全和HR部门携手共同努力,并在安全意识和网络钓鱼培训方面建立了紧密合作之时,组织便在向员工展示教育价值方面的魔力。“人员”逐渐替代技术而成为企业的第一道安全防线,因此,启发员工了解现有的网络威胁对于帮助他们在工作和个人生活中做出更好、更安全的决策至关重要。

欢迎信息安全与人资专业人员在线测试我们的培训平台和内容,联系我们,以及洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898