人员、流程与技术是信息安全管理控制的三大要素。近年来,社会工程攻击呈上升趋势,技术型控制措施显然不够,因此,越来越多的公司正在投资于员工安全意识培训,以让员工免受此类攻击,进而保护公司的利益。
“围绕网络安全的人为因素一再证明,安全基础设施有其局限性。”南大网络安全学院院长如是说:“尽管有技术体系和政策,但除非解决安全中的人的因素,否则保护企业的安全解决方案就不会那么有效。”
对此,昆明亭长朗然科技有限公司网络安全分析师董志军的说法印证了这一观点:人为错误在数据泄露和其他安全事件中起着突出的作用。网络罪犯通常依靠人为错误来获取公司资产。如果员工没有很好地遵循与安全相关的指示,这些员工往往会给组织网络和数据带来更多的威胁。这些年来,我已经和很多首席信息安全官员和安全界领导人进行了交谈,他们几乎都很难亲身向同事传授良好网络安全做法,这种局面令人感到沮丧。在使用了我司提供的安全意识教程如动画视频和教程模块儿之后,他们感觉网络安全事业和职业生涯都获得了新生。当然,这明显有些夸张的说法可能只是些酒后恭维的话。
传统网络安全公司天融信网络安全专家也表示:“考虑到网络犯罪的严重影响和人为错误在网络安全入侵中所起的关键作用,对网络安全采取更全面的方法至关重要。”据悉,到目前为止,天融信之外,已经明显看到头部网安企业如启明星辰、蓝盾、绿盟、安恒等公司也开始投资于研发,以发展现有信息安全培训能力和宣教模块。
启明星辰、绿盟和奇虎360公司都推出了安全意识课程及课堂培训服务,还研发了安全意识手册、漫画宣传图片甚至小动画。传统的网络安全教育机构如西普、红亚则推出了确保学员高度参与的游戏化和交互式网络安全教学内容。
目前交叉销售安全意识解决方案以及集成其他安全培训的解决方案已经露出端倪,思科、微软、IBM、Oracle等国际大头儿纷纷将安全意识服务纳入其IT安全交付业务范围,网络安全设备和技术方案开始内嵌安全意识内容,其中包括一体化威胁管理系统UTM和上网行为管理等设备。
而以往以此为核心甚至边缘业务的IT安全培训公司也纷纷加大内容和平台的研发创作,通过提供跨设备的培训计划方案,以确保高度移动的员工能够访问。其中比较热门的方案是基于微信的移动学习,网络安全知识竞赛,信安攻防对抗赛、现场窃密体验,以及模拟钓鱼等等。
在产品不断完善的过程中,市场也在扩大,昆明亭长朗然公司董志军补充道:“如今,相当一部分企业容易受到安全漏洞的影响,提升安全意识的培训解决方案已不再是大型企业的奢侈品,也成了中小企业的必需品。”
当然,中小企业和大型企业对信息安全意识的需求会有不同,不同行业也有不同的需求,同一家公司不同部门岗位的需求也有差异,教育工作者强调每个人都有自己的学习方式,要因人施教,因材施教。这种态度也应该应用于员工的网络安全培训中,这就需要个性化、定制化的安全教育的方法,这种方法的关键是认识和处理不同客户、不同岗位、不同学员的个性类型。
例如,偏好判断或感觉的人比偏好思考的人更容易受到社会工程攻击,这可能是因为思考者倾向于用逻辑来解决问题。然而,思考者也会对自己的能力过于自信,因此更容易犯下导致风险增加的错误。
考虑到安全意识训练中的个性特征,昆明亭长朗然科技有限公司利用数据分析技术,通过对测试进行建模,找出那些最容易被操纵的个性类型,进而构建更加重视社会工程攻击的应对方法,画像出最有可能冒险的个性,将他们纳入安全意识教育的重点,进而防范其危险行为带来的危害。
董志军表示:我们有海量的信息安全意识资源内容库,针对各种个性类型的学员,我们可以超越安全培训,构建适合其个性的学习内容,进而节约人力成本,并用之来建立更强大的安全团队力量。
每个人都会犯错误,有时人的错误超出了人格类型的范围。有些擅长安全最佳实践的人仍然可能会在某一天受到勒索软件攻击。对此,我们建议进行安全意识评估,并在安全教育活动中加入挑战环节,在此基础上修复人员安全漏洞,完善不同人格类型的员工的安全意识。
当然,安全意识培训必须考虑对人员行为的影响。人们容易受到良好网络安全做法的影响。我们也知道,尽管大多数公司的安全培训并不很成功。毫无疑问,这正是我们需要改进之处,因为标准化的培训课程和服务可能并不适合特定业务的客户以及特定个性的学员,因此,我们需要针对不同特点的组织,不同性格的学员,量身定制教育计划,这种对目前所用方法的改进,是我们正确的前进方向。
不管您对这个业务和行业的前景有任何的看法,请都不要犹豫地和我们聊一聊。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:info@securemymind.com
- QQ:1767022898
