探究信息安全意识培训案例

网络安全培训就安全风险的识别、安全漏洞的应对和安全最佳实践对员工进行培训。在网络安全业界,即使技术型的公司也不得不承认,组织机构的头号弱点就是员工错误。黑客越来越多地使用更复杂的网络钓鱼和社会工程技术来瞄准员工,使员工更难辨别工作数据所面临的威胁。意识培训,也只有意识培训是保护组织机构免受此类威胁行为者侵害的重要组成部分。对此,昆明亭长朗然科技有限公司网络安全研究员董志军称:随着网络攻击频次的增加,从第一天开始,安全意识培训就应该成为新员工入职培训的一部分。

通过安全意识培训,组织机构被黑客攻击的可能性将会降低,安全漏洞的成本也会降低。如今,重要的不是贵司是否会被黑客攻击,而是何时会被黑客攻击。统计称:网络罪犯越来越多地以中小型机构为目标,一次网络安全事故的平均成本为18万元,包括直接停工影响、经济损失、信誉损失、重建成本等等。问题并不会立即结束,通常来讲,一旦遭遇一次安全事件,再次发生的可能性就会大大增加,超过一半的中小型机构在发生安全事故后的半年内惨遭倒闭的命运。

那么,我们应该在新员工培训中涵盖哪些安全意识培训主题呢?

首先,要了解的基本概念是对网络安全的介绍,从本质上讲,网络安全是什么、为什么安全很重要,以及当黑客不断尝试以组织为目标进行攻击时会发生什么。在这里设定期望很重要,展示组织对网络安全的重视程度,并将其引入正在进行的员工培训计划中。

其次,员工失误是当今网络安全事件的最大因素,因此定期进行员工培训,尤其是针对网络钓鱼电子邮件和社会工程学的培训,对于良好的安全性来说是非常宝贵的。拥有强大的安全培训可以为组织机构节省资金,提高声誉并避免很多压力。

再者,评估员工们的知识和行为,管理专家称“没有衡量就没有绩效”。一项重要的网络安全培训技巧就包括衡量安全意识计划是否成功,可以等待并在实际攻击期间衡量员工们的安全绩效,也可以谨慎行事,先进行模拟进攻。强烈建议使用虚假的网络钓鱼邮件流并且检查员工们的实际响应。此外,基于场景的模拟评估在评估学习者的知识方面非常有效。策划一场社会工程和网络钓鱼攻击,看看每位员工会如何回应,员工们是否仔细检查电子邮件的发件人?在收到自称的权威人士来电时,他们是否泄露敏感数据呢?还可以与第三方合作检查物理安全的准备情况,检查安保人员是否允许没有身份证明的人员进入,或者检查员工在内部专用区域看到无人陪伴的访客时会作何反应。

更进一步,加强安全意识反馈循环,评估学习者对网络安全概念的正确理解,评估安全意识培训活动的绩效,并根据指标结果,不断改进培训计划。通过系统,检查学习者的课程完成状态,可以建立一个记录所有员工的所有安全事件的数据库,对于研究数据以确定常见的攻击点和员工的弱点来讲,这很重要。然后,相应地调整培训计划,甚至可以在不透露相关人员的情况下创建这些事件的案例研究。

最后,加强互动式的沟通,由于安全意识内容不断变化,听取员工们的反馈意见就非常重要,了解他们喜欢什么和不喜欢什么。这不仅仅是为了获得对内容的反馈,更重要的是获得关于员工想要和需要了解更多内容的反馈。当涉及到安全意识时,这一点常常被忽视。在运行安全意识计划时,不倾听员工的意见是一个巨大的错误。持续获得定期反馈,尤其是从新员工那里获得反馈,是与员工发展关系并强化安全文化的好方法。

让我们结合一个快速的案例研究,来简单探讨信息安全意识培训的实践经验。一家著名的金融科技服务公司花了半年的时间,建立了一套强大的网络安全意识培训框架。学习与发展团队(培训部)与招聘团队(人力资源部)合作,在入职流程中加入网络意识培训课程,该课程以讲师在课堂简单介绍网络安全开始,以讲师布置线上电子学习任务结束。通过安排学员在一个月内通过电子学习的方式进行,讲师节省了课堂培训的重复性工作时间,学员们被要求在学习之后通过在线测试考核,这促使学员们在压力下认真参与在线知识内容的学习。

在针对全员的年度培训内容方面,学习与发展团队和信息安全团队一道,与昆明亭长朗然科技有限公司一起,共同参与了全年培训计划的内容创作。培训方式以在线电子学习为主,同时,使用模拟网络钓鱼练习来评估学习者的理解程度。网络钓鱼模拟测试是安全意识培训计划的重要组成部分,旨在使用真实的场景来测试员工们的安全意识。高管们的预测结果令人吃惊,只有35%的高管或总监级人员具备基本的网络素养。正因如此,学习与发展团队为高管和领导者设计了专门的培训项目和研讨会,带有互动游戏元素。高级管理人员发现定制的培训计划和研讨会很有见地,并坚信培训计划将帮助他们自信地做出有关网络风险的决策。接下来,安全意识培训委员会鼓励管理人员就网络安全的重要性和日常实践,在公司范围内进行讨论。这就使培训获得了管理层的普遍支持,在高层的承诺和示范效应下,全员培训计划的推进非常顺利。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

大部分智能移动终端中含有敏感数据

计算终端越来越轻巧,网络接入也无处不在,移动工作成了商业趋势,笔记本电脑、上网本、超级本等等成了高效办公人士的工作必备,而平板电脑和智能手机更是成为商务人员路途之中不可或缺的随身伙伴。

在人们享受着高效和便利的同时,是否忘了保障敏感数据信息的安全呢?昆明亭长朗然科技有限公司的一项安全调查表明:多数公司员工会在笔记本电脑或智能移动终端中存储敏感数据,当然,这些设备甚至可能都是首要的工作设备,PC行业近几年的笔记本电脑出货量已经超越台式机便是一个侧面的例子。

实际上,不管移动计算终端是否是首要工作设备,只要是用于工作,多少都有一些敏感数据,比如产品和服务相关的文档以及电子邮件等等。而消费型电子设备的热潮让自带计算设备BYOD成为工作场所的一项安全挑战,以往往公私分明的界限越来越显得模糊。

同时,当数据游离于传统的边界网络保护之外时,就需要强化对终端的安全控管,让终端具备必需的互联网边界保护实力,问题是终端用户往往并非安全方面的专家,即使给他们最好的工具,也需要培训他们必要的基础知识和使用工具的技能。

实际上,我们看到不少公司都有提供各类终端安全技术产品如防病毒和个人防火墙等等,但是它们没有得到正确的安装、没有得到及时更新、被刻意绕过、被禁用或被卸载都是常见的情形。这些终端用户可能会认为这些安全控管措施限制了互联网的应用并且造成了一些终端计算设备的性能低下。虽然运行任何一种程序都会耗用一些计算资源,但是终端用户对待安全控管措施的这些态度和行为说明安全意识沟通不足。

首先,需要制定移动终端安全相关的政策标准,您的组织是否有移动计算设备使用的相关政策标准或规章制度?有四分之一的大型公司已经专门针对移动终端的使用制定了相关的安全策略。

其次,昆明亭长朗然科技有限公司认为,需要强化对终端用户进行移动设备的安全基础理念和技能培训教育,这些工作的紧要性应该超越终端安全控管系统的部署规划和安装实施。特别是在保护敏感信息数据方面,需要强化几点:首先,保障设备存储的加密,如果终端支持,则需启用硬盘密码和访问密码;其次,在应用层面,也应该保障数据的加密和访问控制,不少设备都有文件加密的应用程序,当然也有不少应用有数据加密功能,只需启用它们;在数据通讯方面,必须考虑使用加密通信,以防止数据被窃听或中途截取甚至篡改,简单的方案是教育用户使用VPN加密所有工作流量。

移动设备信息数据的安全与公司的核心竞争力以及商业成功越来越密不可分,让员工们具备必要的移动终端安全意识和技能,是安全管理层非常紧迫的工作目标之一。