人力资源应留意员工安全培训创新

近些年,大国之间矛盾和冲突不断,这造成世界局势的不太平,甚至危险重重并蔓延至信息网络领域。在互联网和信息科技领域,安全漏洞泛滥成灾,熟练的网络犯罪分子窃取私有数据并破坏组织机构品牌声誉的安全事件导出不穷。一连串的勒索软件攻击便是网络攻击泛滥成灾的最新例证,这一系列攻击使高阶领导层甚至董事会在整个业务环境中感到不轻松。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:要确保组织的信息资产免受安全漏洞的侵害,远不是实施IT安全漏洞修复工作计划这么简单。很多安全人员认为及时向所有的系统安装最新的安全补丁,就可以高枕无忧了。

首先没错!组织知道他们需要投资于安全性,特别是及时修复已知的系统安全漏洞(弱点)。但是同时,许多人没有意识到当下的安全已经远远超出了正确的技术产品范畴。那就是“人员”一直在安全中起着举足轻重的作用,以至于许多IT团队将员工称为网络犯罪的“薄弱环节”。即使是采用最佳实践做法来实现了系统的安全性,仍可能会因为一名遭受网络诈骗之类的社会工程攻击的职员而全盘失效。单独一项安全事件就可能使公司陷入混乱,从勒索软件的噩梦到大规模的数据盗窃出售、从在公共场所无意的夸夸其谈到恶意的“删库跑路”等等,都暴露了“人员”弱点的杀伤力,损害组织、员工和客户的机密、隐私和利益的,不再只是微软的某个高危软件漏洞了。

当前,大多数公司仍将安全严格视为IT责任。但是,所有涉及到“人员”的问题通常都是人力资源问题,尤其是在培训计划方面。对此,董志军强调说:要解决“人员”弱点方面的安全问题,就要让安全意识培训应成为组织文化的重要组成部分。

要想有效地防范当前风险,针对人员的安全意识培训必不可少,甚至可以发挥关键作用。不可否认的是,安全政策和程序仍然很重要,但是也需要对员工进行培训以让其遵循这些政策或程序,否则它们将毫无意义。考虑到有组织的网络犯罪日益复杂和强大,安全意识培训就显得尤为紧迫。欺骗性电子邮件地址可以让员工们认为他们收到了上司甚至CEO、CFO的请求。很显然,忙碌的员工们往往会在不知不觉地落入网络钓鱼骗局。我们需要一些新的安全意识培训计划来提高人们对这些社会工程学攻击策略的认识,这就是最近一份调查中,86%的受访者将安全意识培训评为抵御勒索软件的最有效方法的原因。

企业教育专家表示人们可以通过三种方式学习新知识:一、主动了解新事物;二、观察研究他人在做的事情;三、通过犯错来学习。当前的安全意识培训通常会利用最新动态。由于许多老式的合规性驱动性安全意识培训已被证明为效果不佳,因此现代的安全意识培训计划通常会模拟对员工群体的网络钓鱼攻击,以查看点击人员的百分比。这是一门更令人难忘的针对性安全培训方案,可以帮助员工认识到自己的弱点,并克服之。

成千上万的IT和安全团队发现这些方法非常有效。然而,许多人力资源和法律团队对实施此类计划表现出犹豫不决,他们经常担心,这种培训方式涉及“伪装”和“欺骗”手段,与他们正在尝试建立的积极文化相冲突。他们觉得某些员工在单击自己公司创建的电子邮件中的错误链接后可能会感到不适或尴尬。

但是这真的令人不适或尴尬吗?通常,在员工遭受模拟攻击后,他们会看到类似屏幕的内容:“糟糕,您容易遭受网络钓鱼攻击。”他们常常在那一刻会意识到,模拟的网络钓鱼式意识培训使他们免受实际攻击所带来的痛苦,从而避免对其个人身份和公司数据造成潜在的灾难性后果。实际上,当许多员工看到诸如欺诈性域名,伪造的网银通知和感染了恶意软件的文档之类的狡猾犯罪实例时,他们会给出积极的反馈。接受安全培训后,这些员工们会积极地与家人和朋友分享学到的信息。安全不仅仅是业务问题,大多数员工也关心对其个人身份、隐私和资产的保护。

残酷的现实是,现实生活中的恶意行为者确实会采取欺骗手段针对个人和家庭用户。人力资源团队可能会犹豫采用这种模拟式的钓鱼培训,但是如果不能为其员工做好准备,他们可能使组织比以往任何时候都更加脆弱不堪。通常,那些起初拒绝这种创新的“激进”的模拟钓鱼式安全意识培训的组织最终会在遭受攻击后以某种方式要求重启安全培训。不过那是不幸的,因为组织已经付出了很高的代价,所有参与了真实数据泄露的员工也都可能会感到内疚、不安和歉意。

尽管我们建议人力资源部门主动发起安全意识培训计划,还有一个好处是可以帮助公司提供针对此类威胁的合理保护方面的努力证据,员工安全培训记录便是尽职尽责的工作证明。因此,安全意识培训也是防止诉讼的必要条件。

以某科技公司为例,该公司人力资源部门的一名员工受到社交工程诈骗,将公司员工详细目录清单发给了网络犯罪分子,造成两名员工受到电信诈骗和网络钓鱼,该两名员工各自损失了几十万后控告公司没有保护好他们的个人联系信息。公司如果早点实施这方面的模拟网络攻击培训,不仅人力资源部门的员工能防范社交诈骗,更能帮助员工们识别出常见的电信诈骗和网络钓鱼伎俩,还能防止惹上官司。

最终来讲,组织机构的安全实力和文化都可以通过他们在培训方面上的投入来进行评估。担心模拟网络钓鱼培训会带来相关的不适和尴尬的人们可能正在让事情变得更糟糕。因此,以现代方法对待员工人力资源的组织将会把信息安全和数据保护以及员工的福祉列为优先培训事项。

当IT、安全和HR部门携手共同努力,并在安全意识和网络钓鱼培训方面建立了紧密合作之时,组织便在向员工展示教育价值方面的魔力。“人员”逐渐替代技术而成为企业的第一道安全防线,因此,启发员工了解现有的网络威胁对于帮助他们在工作和个人生活中做出更好、更安全的决策至关重要。

欢迎信息安全与人资专业人员在线测试我们的培训平台和内容,联系我们,以及洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

将PDCA方法应用于安全意识教育

引子

PDCA相信很多人不陌生,对接触过管理思想的人来讲,更是熟悉,不过还是让我们简明快速地讲一下。PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母,PDCA循环别称戴明环,是质量管理的基本方法,也是企业管理各项工作的一般规律。

对于信息安全从业人员来讲,PDCA也是建立信息安全管理体系ISMS的一项方法论。昆明亭长朗然科技有限公司信息安全意识课程开发主管董志军说:教育培训管理可以使用PDCA方法,信息安全管理可以使用PDCA方法,当然,交叉起来,作为人员安全管理的一个重要部分,信息安全意识教育培训也可以使用PDCA方法。

现状

在业界,很多技术型的信息安全专员不了解信息安全意识的重要性。而只有站在足够的高度的管理型安全专业人员才清楚:大部分的安全事件是由于最终用户对安全的无知或忽视而引起的,这些事件甚至包括造成重大损失的安全事故。通过恰当的信息安全意识培训,大部分由最终用户引起的安全事件可以得到避免。

信息安全意识培训负责人正逐渐认识到对最终用户进行安全培训的重要性,但是却往往没能掌握到科学的安全意识教育工作方法,更没能认识到培训工作需要得到持续不断地进行,并不断改进。正是因为如此,不少信息安全意识宣教活动都停留在表面,拍拍照,秀一下工作完事了,根本没有什么效果。

这种状况需要得到改变,否则必是安全管理的不完善。昆明亭长朗然公司董志军指出:由于信息安全管理的三大支柱是人员、技术和流程,即使技术型的安全专员多花出几倍力气和资源投入,也是无法有效解决人员意识和管理问题。

路子

针对人员安全意识培训的短板需要补齐,而具体该怎么做,则可参考PDCA方法论。其实信息安全意识培训负责人员可以和管理体系人员,以及职业的培训专员来探讨。如下,我们分享一点

P (Plan)计划,包括信息安全意识培训计划的制定。这里面包括搜集和分析安全培训需求并且制定培训目标,以及制定培训战略,创建培训计划。可以通过对最终用户进行水平的评估,来确定信息安全培训需求;也可以为最终用户划分到不同的类别中,以确定用户处于哪个类别,量身定制信息安全意识培训计划以便能最好地满足他们的需求。在计划制定方面,要保持安全培训的简洁,调整培训以便适应最终用户的水准,创建培训课程,以适合安全知识最少的最终用户。非正式的和基于电脑的培训在改进最终用户的安全表现方面最为有效,应该将这些培训方式应用到信息安全意识培训计划之中;正式的培训加上微培训和测试是保持安全意识在最终用户的头脑中处于更新状态的最好的方法;

D (Do)执行,根据上一阶段所制定的培训目标和计划实施信息安全意识培训活动,可能是通过外包还是内包的方式,可能是在线课程、互动挑战、“微培训”等多种形式。最终用户的安全知识水平可能参差不齐,毕竟大部分用户并不是安全方面的专家,培训时一定要尊重他们,让他们觉得受到了平等的对待。在培训活动开始前后,征求用户的想法和意见,倾听是很有效的沟通方式。

C (Check)检查,跟踪、评估培训的实施情况,在上一阶段,我们应征求用户的想法和意见。同时,也可以通过各种工具和手段来衡量信息安全培训工作绩效,比如通过在线调查表、测试考核等。

A (Action)改进,根据培训工作绩效评估结果,结合实际发生的安全违规情况,并与培训目标进行比较,找出培训中存在的问题,不断改进我们的培训流程,包括在课题的选择、交付的方式、培训的技巧等等方面进行持续的改善,如此便进入到下一个PDCA循环中去。

总结

不论一家组织规模如何,所处行业如何,都需要进行信息安全意识培训。使用PDCA方法,设定培训计划,执行计划并对最终用户的学习情况进行持续的检测可以不断改善信息安全,以及安全培训工作。有近半数的公司在提供了针对最终用户的信息安全意识培训之后看到了安全行为方面有明显的改进。

如果您对这个将PDCA方法应用于信息安全培训的实践有兴趣或意见,我们有一部公开课可供您参考和指正。此外,昆明亭长朗然科技有限公司在安全、保密与合规方面,提供专业的针对全员的培训解决方案,欢迎联系我们,了解详情或洽谈合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898