在服务外包和劳务输出的大环境语态下,很多岗位的正式职位不足,进而造成一些大型机构和行业非常依赖非正式员工,如临时工、协同工、外来工或合同工,甚至情况比私营企业还要严重。不幸的是,合同工作的性质会导致人员缺乏归属感,对某些流程和政策的冷感,特别是当合同工与全职员工不能实现“同工同酬”相同福利的时候。
然而,随着网络犯罪分子越来越多地针对个人用户而非基础设施,全职和合同工都是潜在的网络攻击受害者。因此,合同工也需要受到与全职员工相同的安全培训培训,这一点可以说至关重要。根据工作类型,政府承包商和一线客户支持人员可能会拥有较高的访问权限和如读取客户信息的特权,拥有特定访问权限的人员当然应该知道如何安全地使用雇主的系统。同时,昆明亭长朗然科技有限公司安全意识专员董志军指出:安全意识培训计划对于降低整体网络攻击风险至关重要。在最近针对数千名IT安全专业人员的全球调查中,近50%的受访者认为,在进行安全意识培训后,员工的网络钓鱼侦测技能得到了提升。
由于非正式员工在数据和系统安全方面发挥着至关重要的作用,因此安全意识培训已从“最好有”转变为“必须有”。但是即使员工们拥有网络安全技能,也必须都严格遵循相同的政策和程序,以便采取一致的安全行动和安全措施。
建立全员参与的安全意识培训计划
如何建立一个覆盖包括非正式员工在内的全员安全意识培训计划可能具有挑战性,但是却很必要。如下我们将抛砖引玉,做一些尝试性的探讨。
网络犯罪分子专注于识别组织机构内部潜在的薄弱环节,因此信息安全团队必须尽一切努力消除短板。第一步,应采取以人为本的网络安全教育方法。安全意识培训对所有最终用户都有意义,此外,组织机构还应为受攻击最严重的个人提供量身定制的安全防范教育方案。
要做到这一点,我们应该专注于在适当的时间向适当的人员提供正确的信息。首先,评估最终用户对社会工程攻击的脆弱性;评估整个员工群体的一般网络安全知识水平;确定应在整个机构范围内建立的基本安全技能。通过一些钓鱼测试、调查问卷或摸底考试可以精确掌握。
然后,深入了解并确定最常被网络犯罪分子攻击的人员和部门。一旦确定了其受到攻击的人员,就会找到可能被利用机会和漏洞在哪里。经常受到攻击且经常容易受到攻击的用户群是必须重点受到关注的,属于这两个人群特别是交叉人群更容易受到成功的网络钓鱼攻击、恶意软件感染或更糟的风险。
值得注意的是,这些人员通常会随着特定环境的变化而发生变化。在某些情况下,高阶人员的VIP身份也会使他们成为攻击者的主要目标,因为他们拥有很多信息系统的最高访问权限和内幕信息的决策和优先知情权。
强化安全意识继续教育
实施安全意识培训计划的机构经常忽视频率、灵活性和定制化。不幸的是,仅仅每年进行一到两次培训以“应付检查”是不够的。这种方法不会使网络安全成为常规追求,因此无法帮助最终用户将网络安全最佳实践作为日常习惯。
相反,选择定期交付的培训模块,在短时间内涵盖特定主题更为有效。使用基于计算机的培训平台,它允许组织机构在几乎任何地点提供频繁的按需安全教育,这种方式有助于提高聚焦并对抗训练疲劳。持续进行的正规教育可以做到那些单一的、一年一次的培训无法做到的事情,即保持网络安全在学员心目中的重要地位,而不是年复一年地提供和重新传递相同的内容。
从本质上讲,继续教育计划也比一年一次的培训更灵活,因为它们提供了应对趋势威胁的机会,并使教育优先聚集于当下较为紧迫的威胁。威胁情报不仅在技术方面有价值,这些信息可以帮助我们了解当下的安全新问题,并且可以用于指导安全培训计划。勒索软件等新威胁和最新法规宣传便是各个层面的很好的例子。
安全意识继续教育的方法还允许更大的定制空间,以提供必要的灵活性。并非所有员工都具有相同级别的网络知识或安全责任。尽管有关网络安全基础知识的广泛教育是一个好主意,但基于角色和访问权限提供量身定制的培训同样重要。
最后,网络安全技能还应被视为超越工作场所的生活技能。近45%的智能手机用户表示他们会将个人计算设备用于工作或商业活动,因此越来越需要这些安全技能“永远保持在线”。信息安全团队必须在渐进的步骤中积极地建立安全知识库和改善安全状态。精心设计、周到完善的安全意识培训计划可以做到这一点。
昆明亭长朗然科技有限公司是一家专注于帮助客户提升受众(包括员工、非正式工及合作伙伴人员)安全意识的服务商,我们帮助过多家各种类型、各种规模的客户成功建立和实施了安全意识培训计划。我们也自主开发和制作,并且帮助客户量身定制设计创作了大量的安全意识主题内容,欢迎有兴趣的客户及行业合作伙伴与我们取得联系,洽谈进一步合作事宜。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:[email protected]
- QQ:1767022898