在防范网络犯罪的进程中,企业员工正在迅速发展成为最薄弱的一环:常识只能保证我们走完一程,仅此而已,而且还要确保围绕安全所采取的最佳实践不被当作耳旁风,左耳进右耳出。不论是员工无意间所犯的错误,还是其已被黑客锁定并通过他们来获取敏感信息,员工一旦犯错都可以轻易地为恶意软件和信息窃取大开方便之门。
攻击成功通常是因为进程不畅和利用人为的倾向。为了减少企业的威胁面,需要将定期员工培训的重点从反应转向防御。在员工安全培训中,纯粹的以合规为导向的方法已被证明对企业无效,这种枯燥的培训方式已经不足以激发员工的想象力。企业应侧重教育员工如何保护他们的个人资料,从而鼓励员工在工作场所采取进一步的安全导向的做法。
可以采取多样化的员工培训方式,其中便包括日益流行的“游戏化”网络安全教育项目。游戏化指的是将游戏机制运用于非游戏情境当中,利用游戏中某些令人兴奋的元素,将其应用到其它类型的不那么有趣的活动当中。由于引入了竞争和奖励等元素,游戏化项目日益受到大众欢迎,在各个行业被广泛采用。
目前,有不少企业将游戏化项目应用于实践以提升绩效和积极性,包括客户参与和员工教育及培训。其中,游戏元素包括一对一竞赛和奖励计划等。
如何以游戏化的方式来解决所在企业的安全问题,以下两种关键方法可供企业管理者采用:
增强培训趣味性,提升员工参与度
游戏化项目可助力企业以多种方式提升网络安全性,比如,向员工展示避免网络攻击的技巧以及学习如何甄别软件漏洞。全球咨询公司普华永道通过其“威胁游戏”来传授网络安全知识。高管们在现实世界的网络安全环境中进行对抗,扮演攻击者和捍卫者的角色。攻击者选择攻击的策略,方法和技能,而捍卫者制定(防御)战略,投入正确的技术和人才来应对攻击。该款游戏让高管们了解了如何准备和应对威胁,公司的准备情况以及他们的网络安全团队每天需要面对的问题。
游戏化有利于增强员工培训的趣味性,提升员工参与的积极性,提高员工对网络安全实践的认识,其中便包括如何正确处理攻击。
提供奖励来鼓励良好行为
大多数安全漏洞皆由人为失误所致,这是因为员工要在规定期限内尽量快地完成工作,往往会忽视公司相关安全的重要政策。
例如,开展一种称为“来钓我”(PhishMe)的活动便是培训员工电子邮件安全的一个行之有效的途径,这包括定期在企业内发送钓鱼邮件,对员工的反应以及行动进行测试。
游戏化使得企业能够对那些遵守安全流程和坚持正确安全指导方针的员工予以奖励,此举将促进良好行为的进一步养成。这种游戏化活动可以表现为,授予员工徽章或积分点数形式,在积分板上进行展示,从而形成整个办公室你追我赶的局面。在某些企业,如果有员工达到一定要求后,他们会获得一份诸如礼券之类的物质奖励。
此外,该系统还有助于发现那些在游戏化活动中表现不佳的人员,从而完成更进一步的网络安全培训。
当员工表现良好时,对其认可并予以奖励,能够促使他们更加积极工作,激励其采取安全措施,创造更加安全的网络工作环境。
任何一个以安全意识为主的培训,其核心便是教育员工要对他们在工作中所处理的数据以及他们在家创建和使用的数据负有同等责任感。所有围绕安全意识进行的活动都应该保持持续性,而非一次性行动。不论企业规模是大是小,领导者有时可能会觉得他们缺乏有效的能够推动网络安全教育活动所需的资源,其实这种活动也可以以经济实惠的方式来进行。
视觉材料有助于工作的开展。从一些小视频,海报和/或竞赛开始,让每一位员工都能抓住重点信息,那就是确保安全是每个人的责任。
“下马威”战术不起作用了。企业的目的是要网络安全在员工中形成共识和文化,因此需要将企业的这种游戏化活动视作一种市场活动,其目的是说服员工改变其行为。
言简意赅,效果最好。长电子邮件总是被忽略。保持邮件的简短和有趣,同时要注重采用上行下效的方法,即员工总是在效仿他们的领导,如果领导都不重视网络安全文化,那又怎么能要求其员工也重视呢?这种做法的目的是教育员工采用最佳实践,而不是逼迫他们成为安全专家。所以要保证这种方式有趣,能够博人一笑,这样确保每个人可以在同一时间对其形成深刻了解。
强化和跟进是关键。培训是一个持续的过程,要做到向那些行之有效的方法学习,必要时接受再教育。要重新对你的新老员工进行测试,检查他们是否会落入钓鱼邮件的圈套,检查有哪些员工仍旧对假冒邮件难辨真伪。鼓励员工就虚假信息及时沟通和通报,鼓励落后部门向先进看齐。我们的目的不是让单个员工拔尖,而是在企业内部形成健康有序的竞争机制。
尽管消除业务中的网络风险需要一个持续的过程,但这些风险是可以进行管理的。我们需要一套行之有效的方法,鼓励员工有疑问便能够说出来,如有必要提供再教育。如果有员工还未接触安全意识项目,但却在点击恶意软件之前就能提出疑问,就说明您已经扫除了障碍,从而使网络环境变得更加安全了。