网络安全意识培训的重要性已经无需多言,但是很多企业在实践中面临两难境地,力度小了员工敷衍了事,而力度大了,如果方式不对,有时候也会起到反作用,甚至会让安全意识培训在企业内部落下“不讲武德”的坏名声。
例如,在今年早些时候,报业巨头Tribune Publishing向员工发送了网络钓鱼模拟测试邮件,“恭喜”员工获得5000-10000美元的年终奖,需要登录查看。结果点击链接的员工立刻收到了参加计算机安全培训计划的通知。这次网络钓鱼测试最终引发了众怒,因为Tribune Publishing测试前刚刚解雇了大批员工,钓鱼邮件测试无疑是在员工的心灵创伤上撒了一把盐。
电子邮件服务公司TheXYZ的创始人佩里·托内(Perry Toone)说,对员工实施网络钓鱼测试导致类似的灾难性结果并不罕见,甚至很多企业因此放弃了这一方法。
他说:“我们创建了一个虚假的钓鱼网站,并诱惑员工单击电子邮件中的链接。事实证明,这不是一个好主意。许多员工吓坏了,以为自己真被黑客入侵了。”
那么网络安全意识培训有没有更好的,让员工“印象深刻”同时又有参与积极性的方法呢?以下是多位网络安全专家给出的八大建议:
游戏化
Auth0安全与合规高级总监Duncan Godfrey表示,人们喜欢边做边学,安全部门需要创造既促进教育又激发兴奋的挑战。
例如,内部漏洞搜寻不仅鼓励员工安全发现并报告漏洞,而且还可以识别公司基础架构中的威胁和严重错误。
Godfrey说:“这一挑战促进了员工之间的健康竞争,并在我们的日常工作中引入了令人兴奋但又富有成效的使命。发现严重漏洞的任何员工都会获得公司内部的名人堂荣誉以及Auth0赃物奖。”
第二个挑战是网上诱骗:要求员工“像黑客一样思考”,并尝试诈骗Auth0的网络安全文化经理。
Godfrey说:“这项以受控和安全的方式进行的挑战为我们的员工带来了一项有趣的任务,使他们能够更好地了解安全人员日常防御的各种攻击类型。”
将安全意识培训整合到入职流程
S3 Consulting的首席执行官兼创始人Johanna Baum说,在新员工入职的过程中,他们就应该接受一些意识培训。
她说:“在S3中,一旦通过入职颁发证书即可接受安全意识培训,包括每个客户都必须参加。如果没有成功完成,他们将无法完成入职流程或某些资产的分配。”
鼓励员工提交错误报告
电子邮件安全公司Tessian的首席执行官兼联合创始人Tim Sadler说,每个人都会犯错,“但是人们控制的敏感数据比以往任何时候都要多,例如客户,财务和员工信息。这意味着即使是最小的错误,如意外将电子邮件发给错误的收件人,都可能会严重损害公司的声誉。”
Sadler提倡通过鼓励员工提交错误报告来使安全意识更加普及。
他说:“公司需要建立一种安全文化,以鼓励员工向IT部门报告错误。否则,这些错误将继续发生,而且无法了解它们的发生方式或原因。”
基于角色和年龄的针对性安全意识培训
网络安全培训公司Cybrary内容运营主管Will Carlson说,为了使安全意识尽可能成功,安全领导者需要确保意识培训项目对于最终用户而言是可行的和有针对性的。
他建议根据最终用户在公司中的角色,提供定期的 “有的放矢的意识培训”。
Sadler还认为,组织还需要针对不同年龄量身定制安全培训内容。
他说:“例如,我们的数据表明,在工作中受到尊重对老一辈很重要,因此他们可能更不愿承认自己犯了一个错误,因为他们不想丢脸。另一方面,年轻的员工对寻求知识更感兴趣,因此我们应该向他们传授黑客用来针对他们的技术,以便他们知道该怎么办。”
利用多种媒介
IT和管理服务公司Carousel Industries的CSO和CIO Jason Albuquerque指出,企业应当采用“全渠道交付”系统来提高网络安全意识和教育水平。
他说:“我们现在向所有员工每月发布两次网络安全公告。“所有内容都基于易于理解和具有教育意义的现代通信媒体(包括短视频、行业文章、电子邮件、Microsoft Teams消息等)。
Albuquerque表示,他还计划通过使用呼叫中心技术、知识库和人工智能将内容分发渠道扩展为包括SMS消息,从而使安全意识信息传播更快,更具针对性。
将安全培训“嵌入”软件开发流程和文化中
DevSecOps是一开始就将安全性嵌入软件设计中的文化,在许多组织中广为流行。但是,即使您还没有实施DevSecOps,也要考虑对开发人员进行安全意识方面的培训。
Checkmarx应用程序安全全球总监Matthew Rose说:“安全意识培训应该是DevOps的内在组成,而不是额外的单独任务。开发人员喜欢留在自己喜欢的环境中,如果培训使他们脱离了这种环境,他们会认为这是繁重而令人沮丧的,而不是信息丰富和具有激励性的活动。”
Kenna Security的安全和合规经理Jerry Gamblin表示:“企业应该花时间建设安全中心内容,在其DevOps团队中培养安全知识“部落”,其中包括专门的语言安全培训、支付安全会议费用或提供与安全DevOps和编码有关的书籍的安全库。”
安全意识带回家
如今,远程办公已经成为一种新常态,这意味着员工家庭其他成员可能正在使用同一路由器访问工作和学校。
Home Access Health Corp.信息技术副总裁兼安全官,ISACA董事会主席Pam Nigro表示:“鉴于这一现实,我认为让员工的全部家人参与网络安全意识培训非常重要。”
Nigro的团队创建了简单的安全意识消息,供父母与孩子分享,这是教育所有人的努力的一部分。
基于云的软件提供商Datto的信息安全总监Chris Henderson表示,他还在努力帮助远程员工改善安全状况。
他说:“ Datto还一直在为员工提供其家庭安全状况的评估,为他们提供保护路由器和端点的帮助,以确保我们新的远程环境不会遭受攻击。”
寻找部门级的安全意识“二班长”
安全公司Cyphere的常务顾问和专业服务总监Harman Singh建议,安全团队需要有意识地去“笼络”那些热情主动的员工,这将有助于安全团队传播安全意识信息。
他说:“就像在办公室进行演习一样,从每个部门选择和培训安全意识“二班长”,可以与他们联系以帮助队友确保更快的反应。这是内部更有效的社交工具。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】