通过投资人员培训获得安全回报

在当今的数字时代,无论受众的安全水平如何,无论是在基于产品的公司、技术解决方案提供商或服务提供商工作(乙方),还是在机关单位或公司企业里工作(甲方),归根结底,人员的问题终究还是人员的问题。技术可以发挥作用,但并非一切都能依赖于技术,从坏人的角度来看,使用该技术的人员是主要目标。通过寻找人类性格、情绪、繁忙的日程等等,不法分子可以找到一些最需要利用的因素——人性的弱点。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:组织机构中的每位人员都是网络不法分子攻击或利用的目标,所有员工都面临风险,人工智能等技术可以有所帮助,但是人性的弱点最终还是要靠人类自身来解决。当前,网络安全意识已成为确保工作场所安全不可或缺的一部分,这意味着我们应该认真对待并致力于做好安全培训工作。当我们这样做时,也是在为组织提供蓬勃发展和成倍增长的机会。

那么,如何在员工中传播安全意识呢?

首先,需要在员工入职期间引入网络安全。员工入职培训往往是介绍、教导和开始灌输公司价值观、政策和文化的机会,是能给员工留下最深刻印象的关键时刻。网络安全需要作为此入职培训过程的一部分,这样做会给员工留下深刻印象,即网络安全是公司的优先事项,与在入职培训中包含的其他核心业务流程同等重要。网络安全入职培训计划需要全面完整,并且应该介绍和解释网络安全政策中的所有内容。需要浅显易懂,不用太深刻。尽管政策中的某些事情看起来显而易见的,但是一点职场经验都没有的新员工们可能并不这么认为,因此非常有必要对其进行耐心地解释。入职网络安全培训的模式可以使用课堂讲解及互动,这样的沟通效果最佳。

其次,应该至少每年进行一次年度的安全意识刷新,人们每天忙于工作,如果没有得到及时的安全提醒,容易遗忘组织对他们的安全期待。即使在某些方面的网络安全要求会时时影响到员工,但是其他更多方面的要求可能并不被日常关注。安全意识刷新活动就如同持续教育一样,通过终身学习计划,给员工们一种不断充电,保持更新的职场状态。因为安全威胁在不断演变,安全环境和政策也可能每年更新,年度安全刷新应该特别强调这些变化。年度安全意识刷新活动应该选择在业务的淡季,使用eLearning方式最佳,学员可以随时随地参加学习,自主安排优先级完成任务,不耽误日常工作。

最后,最好使用一些安全意识辅助手段,以确保安全政策的落地执行,学以致用才是关键,让员工们学习网络安全是为了让安全方针政策和制度要求能够得到贯彻实施,要让安全意识能够在日常的安全行为中得以体现,进而养成好的安全习惯。通过策划和实施一些定期的意识宣传活动,以及测试审核活动,可以帮助确保安全意识认知指导并转换成人们的日常行为规范和实践。定期的宣传教育活动可以灵活多样,比如使用壁纸、海报、期刊、手册等平面设计物,使用动画、视频、短片、游戏等电子媒体,也可以使用安全巡检、清桌检查、模拟审计等安全行为检查活动,以及测试竞赛、模拟钓鱼、红黑对战等赛事活动。

在内容知识方面,网络安全意识培训计划应包括网络安全政策的要素,例如个人设备法规、电子邮件和计算机密码策略以及可接受的网络访问政策等等。在安全实践方面,要告诉员工们如何遵守政策和正确使用计算资源以确保合规性(包括IT帮助台、人力资源联络、如何访问公司政策等)。如果很容易得到这些可自主查询或问询的信息渠道,有安全相关疑问或顾虑时,员工们知道如何找到相关的信息,这一点非常重要。还有要鼓励员工们通过何种渠道报告安全事件,即使那些事件是由他们自己的错误引起的。建议对自我报告违规行为的员工采取(有限的)特赦政策。了解安全漏洞(薄弱)比斥责不合规的员工要重要得多。

作为其更广泛的安全意识战略的一部分,网络安全团队可以使用网络钓鱼模拟程序,让所有员工暴露在正在进行的模拟网络钓鱼活动中。最好基于最近截获的真实案例,创建逼真的模拟邮件来进行培训练习,以跟上网络犯罪分子不断发展的策略(伎俩)。点击可疑电子邮件的收件人占比(失败率)还可提供组织所面临的风险级别和安全培训需求的宝贵输入。

兵法云:“知己知彼,百战不殆。”了解不法分子使用的手段很重要,通常来讲,在不法分子确定了攻击目标之后,他们会通过社交媒体,如官方网站、招聘、电商平台、微博、公众号、微信、领英、小红书、Facebook、Instagram、Twitter等所有他们可能达到的地方,对他们的目标进行广泛的背景研究,以便了解人们的习惯、喜好,如他们在什么餐馆吃饭 甚至是他们搞过什么团体活动等等。然后,网络罪犯可能会使用这些信息来策划一场令人信服的社会工程活动,例如,一封看似来自CEO最喜欢的西餐厅的诱人促销邮件或一条假冒CEO或新同事的好友添加。只需一次快速的点击,最终用户就可能为灾难性的数据泄露打开大门。

俗话讲“一回生,二回熟,三回一齐局;昨日客,今日友,明日共同宰。”商场中有太多老板做生意都希望有回头客,却经常被熟客骗。网络犯罪分子使用各种社会工程方式(诈骗伎俩)来建立信任,这类基于人性弱点(相信熟人)的骗局非常具有迷惑性,也很有效,通过媒体的披露,我们可以知道商业诈骗时刻都在发生着。这类诈骗很难使用技术型的管控措施来预防,只能从心理方面进行应对,在安全意识课程中,需要不断强调业务交易风险,强调合规运营的重要性。

一项针对中小型的网络安全调查表明:参与者中有33%表示他们从未在工作中接受过网络安全培训或教育。这个问题可以说非常严重,通常在经历了惨痛的安全事件后,管理层才会意识到,需要进行全员安全意识培训。然而,无论是小型企业的首席执行官、IT经理、培训专员,还是负责安全的办公室经理,发动上述的几种安全意识培训,搞起来没什么大问题,可是要搞好搞出成效,能从中受益,并不是一件容易的事情,因为好的培训需要有专业的意识内容或/和讲师资源。

话说回来,社会分工越来越细,专注于核心并实现量产(规模化)是关键的生存和成功要素。那么,如同安全意识教育一样,很多工作并不需要自己动手,在战略选择方面,可以考虑采取外包或对外采购的方式。昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容,包括动画视频、平面图片和电子课件资源,涵盖各种主题,包括场所安全、信息分级与保护、网络钓鱼及诈骗防范、密码最佳实践、双因素身份验证、社会工程学、远程工作和物联网安全等等。在形式方面,我们将与您和贵司合作,创建一个量身定制的安全、保密与合规培训计划,不仅满足贵司的安全意识目标,还可以通过让员工们参与在线电子学习培训,节省预算和时间。我们的在线培训课程模块以用户友好的科普语言呈现,课程长短可在45分钟、60分钟、90分钟、或120分钟。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验在线学习平台以及洽谈采购合作。

关于昆明亭长朗然科技有限公司

昆明亭长朗然科技有限公司由董志军创建于2011年。公司的使命和宗旨是帮助各类型的组织管理信息安全中关于人员的风险。

为提升组织机构内部员工的信息安全意识水平,大批安全教育培训负责人员在不断地寻找安全意识方面的培训资源、创意素材、教学灵感和计划方案。昆明亭长朗然科技有限公司深知这一点,于是通过多个网站,发布了主要面向安全管理和教育培训人员的教程资源,其中一些开放课程也适合网络信息安全从业人员了解更广泛的信息安全管理理念和方法。

同时,对于那些追求上进、有主动意愿想提升自身安全意识水平的个人及家庭网民,甚至小微型企业,我们也有不少开放式的入门级课程可供免费学习之用。虽然其中的场景多为工作相关的场所,但是这些信息安全理念往往是通用的,仍然适合非大中型机构的职员提升自身的安全防范意识。

在互联网上,可以免费自由使用的高品质信息安全意识资源并不太多,而进行安全意识素材的创作却是一件比较繁琐的事情。亭长朗然公司自行设计和制作了大量的安全意识教程资源,包括安全动画视频、安全教育卡通片、安全意识文档、安全培训挂图、安全屏幕保护程序、网络安全游戏、安全互动模拟、信息安全测试题、安全电子课件、安全意识月历、员工安全手册、安全教育期刊、安全小贴士及安全基础词汇表等等。

我们的专长是设计、开发、制作和交付信息安全意识培训课程。作为专业的信息安全意识教育服务提供商,我们拥有国内一流的安全培训顾问专家队伍,熟悉多种安全政策、标准、流程和指南,拥有丰富的信息安全培训经验。

在国家安全、社会安全等“大安全”框架下,安全治理的理论是相通的,安全实践也是类似的,安全意识教育也是如此。昆明亭长朗然科技公司积极利用信息安全意识教育领域里的成功经验,勇于突破传统安全壁垒,推出了针对企业和政府机关的安全生产、职业健康、海外安全、差旅安全、信息保密、电信安全、金融安全等安全及合规类课程。

我们的安全理念

知识就是力量,对员工进行信息安全教育对于管理风险和应对威胁日益重要。

要让员工们懂得信息安全的基本知识和理念、知道如何在日常工作中降低业务面临的安全风险,可以积极提升组织保护至关重要信息资产的能力。

创始人董志军简介

董志军有二十余年的海内外网络信息安全工作经验,服务过的雇主包括国内信息安全领域领导厂商、500强跨国企业、全球性的网络安全服务公司以及中小型实业企业,他本人也取得了信息安全管理领域的国际权威认证CISSP、CISM和CISA。您可以通过电子邮箱 james AT securemymind.com 和他取得联系,也可以添加他的微信18206751343。