信息安全意识培训重要性骤升

近年来,针对职员们“人性弱点”的网络攻击越来越猖獗,最流行的莫过于网络钓鱼邮件,就连知名大学的学生和教职工也大量沦陷于网络钓鱼攻击测试活动之下。这无疑是网络安全圈内的一个又一个炸弹,这些组织机构都部署了大量的网络安全控制、监管和审计设备,尽管如此,用户在IT安全意识方面的薄弱还是让人们有些汗颜。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:二十年前,网络安全的主要工作还停留在设备的铺设期,主要网络威胁还是病毒以及黑客,网络钓鱼刚刚进入人们的视野,很多CIO和信息安全总监级的人物对此都还没有概念,知名黑客 Kevin Mitnick 因为开始使用“社会工程学”骗术的方式,前后进出监狱三次,还出了一本书,反欺骗的艺术 The Art of Deception,尽管这已经是非常前沿的预警,然而很多机构并没有意识到问题的严重性——当强大的外部威胁冲击内部弱点时,“固若金汤”的安全措施,将变得“不堪一击”。

而针对大学教授千万级的转账诈骗,以及针对电网公司CFO的千万级的转账诈骗,都暴露于媒体之后,近几年,人们开始警醒电信诈骗这个问题,同时犯罪分子也越来越狡猾,太多具有持久意义的警示故事了,它们强调了对机构内外所有人进行安全意识培训的重要性。

最终用户的天真可能导致代价高昂的安全事件,这凸显了安全意识培训的重要性。不久前,国务院某机构的负责人收到了一封声称来自组织部门的电子邮件,它看起来完全正常,并要求他核实一些信息。那位领导开始依照要求填写并提交内容,然后突然意识到他将敏感的涉密信息数据直接发送给了网络犯罪分子。

在没有电话也没有网络的时代,骗子可以伪装成某某领导的亲戚朋友,到处行骗,骗个大官当也都不是什么难事。而如今,电话和社交网络这么普及,骗子行骗的成本非常低,可以轻松实现大规模化群发诈骗消息。基本上,人们需要用脑子思考,我们不希望人们不能随便轻信,对于电子邮件,不可随意点击链接,不能轻易开启邮件附件。

不得不说,点击这些东西是人类的基本本能,有时它们非常吸引人,特别是如果它们具有一定的社会背景的话。因此,利用社会热点话题的诈骗消息,往往很容易成功。而社会工程学骗子会研究目标机构,通过媒体搜索等等,找出该机构正在进行的一些活动,并定制化相关的诈骗消息,这样做,无疑会让员工们对消息真假难辨,进而轻易上钩。利用快递信息进行的诈骗也几乎就是这个招数,当人们发现购物信息正确时,几乎相信该事情是真实的。如果担心收不到货,钱财两失,那正中了诈骗分子的圈套。其实,明白人不管那么多,快递丢了,您重新发嘛!退款?直接通过平台退嘛!问题就是明白人不多,傻傻的网购者却不少。对于如机关单位和公司企业等类型的组织机构来讲,员工们的IT安全水平和意识,也是类似的,厉害的没几个。

因此,我们需要帮助用户们避免“陷阱”消息,在防范电信诈骗方面,有防诈APP可用,警示人们境外来电是可疑的。对于员工们呢?无疑需要从一个基本的、温和的安全宣传活动开始,发起基本安全意识培训必不可少。可以制定了一项多管齐下的IT安全意识战略,优先考虑所有员工的持续学习。 首先,新员工通过基于视频的在线课程,了解安全政策和最佳实践,审查并签署可接受的网络使用政策。其此,需要对员工们进行定期的安全意识考核,可以通过在线电子学习的方式,也可以使用竞赛活动的方式。当然,安全团队还通过内部沟通频道、微信企业号和内部通讯月刊,分享相关的安全意识教育内容。当然,可以设计更高阶一些的模拟网络钓鱼活动,或者使用更低级一些的桌面壁纸或屏保。我们不建议使用海报、手册等印刷品,那些物资不够环保,在移动工作时代,效果也不够好。

说到安全意识培训的效果,在信息爆炸的时代,单向的图文甚至动画视频对于用户的意识留存,越来越无力,增加互动就显得非常重要。如果受制于空间场地的不足,比如有分支机构有疫情影响等等,可以搞线上竞赛活动激发用户们的参与度,比如信息安全征稿、在线安全答题拼比等等,成本低,覆盖广。当与最终用户互动时,希望他们从经验中学习,感觉良好,需要认真设计线上活动。通常来讲,在经历几次活动之后,人们会真正开始享受识别可疑消息,这同时还能增强全体职员的士气。

即使员工们对信息安全越来越有信心,安全意识培训负责人也不可高枕无忧。持续的IT安全意识培训的价值远远超过了在新员工入职培训期间提供的典型一次性培训。一方面,安全意识培训材料需要不断更新,不能总是吃一个菜,那样营养不充分。另外,也需要有新的玩法,比如移动工作流行时,有些员工喜欢在手机上打开了这些电子邮件,这时,就可以考虑使用一套新的针对移动设备的安全意识培训方案。

安全意识活动的报表及报告非常重要,这也是我们建议使用电子学习系统、在线测试系统和模拟钓鱼系统的原因之一。没有衡量就没有绩效,多少人员参训?完成学习的情况如何?通过测试的情况如何?哪些知识领域不被大家掌握?网络钓鱼模拟的点击量下降了还是上升了?具体数字怎么样?这些都可以是考核点和改进点,也可以是安全培训团队的工作绩效证明。

不管如何,我们要注意安全意识培训的持续重要性,即使用户精明程度在不断提高,也必须持续进行强化培训。人们往往会忘记并回到他们的旧习惯,所以需要不断地这样做,比如:每月一次小型培训,每季度一次中型测试,每年一次大型活动。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

BYOS带来的数据安全风险胜过BYOD

自带计算设备BYOD是个热门词汇,不过如果能严格管控BYOD的话,不仅能够节省IT终端设备的投资,还可以提升员工工作效率。

不过,考虑到资产所属可能带来的法律问题或安全问题,多数大型组织还是喜欢公私分明。昆明亭长朗然科技有限公司的安全研究顾问Bob Xue称:注重安全的公司宁可花钱购买消费型智能终端计算设备用于工作,也不愿员工自己的私人设备接入公司内部网络或存储工作相关数据。

即使设备方面的问题容易统一解决,但软件使用方面,如果员工Bring Your Own Software/Service,BYOS的话,仍然会引来了不少安全问题,虽然未经破解的原生iOS、Android或Windows Phone的安全性相对较强,仍然会面临移动恶意代码、软件程序安全漏洞、程序控制等等问题。

目前市场上已经出现一些移动设备管理MDM解决方案和系统,MDM能够帮助解决一部分BYOD安全控管问题,但是并非全部,主要的原因并非仅仅是移动程序数量巨大并且更新频繁,更重要的MDM缺乏足够的对数据进行安全保护的管理机制。

而信息数据,无疑是超过设备本身的更需要得到安全关爱的核心资产,面临着数据生成、访问控制、同步、数据展示、数据通讯、加密存储和最终删除等众多安全控管需求,这是任何单一的安全控管技术都无法全面实现的。

当笔记本电脑、上网本、超级本遭遇智能手机和平板设备时,当终端操作系统不再是单一的Windows XP,当应用程序的安装源头五花八门时,想从技术层面达到有效控管便成了一道不可能的任务。

那该如何着手更为经济有效呢?亭长朗然Bob说:IT变得移动化和消费化,让商业应用变得更加自由和高效,IT安全管理者应该与时俱进,放弃传统的家长式技术控管理念,从移动终端设备和应用的使用者入手,加强移动设备的安全使用政策制定,强化对用户的移动安全意识教育和安全技术指导,才是最有效的。

在BYOD的时代,信息安全不再是传统IT职责范围内的服务器、网关和桌面安全,而更为分散到最终用户,唯有强化终端用户的安全意识,让终端用户担负起保护信息资产安全的职责,信息安全才能取得成功,数据风险亦可变得可控,业务安全方可获得保障。

byod-android-mobile