几乎每一个建议和解决方案都回到一个关键概念——使用网络安全培训来创造一种文化,让每个人都认为网络安全是他们工作的一部分,并拥有保护公司数据、基础设施和应用程序的知识。
网络安全文化的五个组成部分
创建正确的文化似乎有些模糊。您在哪里可以找到有助于建立数字安全思维的具体路线图?
这份信息安全报告是一个很好的起点。它还可以让您了解其他公司在数字防御和文化方面的成熟程度。
这些是报告中概述的五个领域——以及它们的含义:
- 信任——员工与安全实践和人员之间的关系
- 责任——员工对他们在组织安全中的角色的看法
- 信心——员工将学到的信息和技能转化为安全行为的可能性
- 敬业度——员工参与和应用资源和支持的意愿
- 结果——感知后果衡量员工认为事件对组织及其生活的影响。
涵盖所有这些领域的网络安全培训将创造一种鼓励安全的整体文化。通过在 IT 和员工之间建立信任开始,这种文化从员工将网络安全视为“老大哥”转变为伙伴关系。
然后,员工更有可能充分听到并牢记他们真正拥有防止或引发可能产生破坏性后果的攻击的权力。一旦这种信任到位,网络安全培训就会为员工提供信心。这随后转化为敬业度,因此员工可以改善他们的行为。
网络安全培训的三个关键
该列表提供了良好的基础,但我们仍然需要有形的任务来帮助公司构建这五个领域。创造一种新文化并非易事,也不是一蹴而就的。这是一个长期的过程,源于主动和战略性的变化。
公司可以采取以下三项行动来改变他们的文化:
让网络安全培训变得有趣
提供方便有趣的培训。员工应该关心数字安全,了解如何预防以及如果遇到任何奇怪的事情该怎么办。你不能在公司会议期间一年一次的无聊演讲中做到这一点。
相反,应齐心协力,与每位员工就这些问题进行持续对话。通过让人力资源部门与 IT 部门合作,您可能会看到改进的培训结果。
在考虑正确的方法时,请查看您的整体公司文化和员工的需求。考虑使用微学习将主题放在他们的脑海中。
提供目标职位
使网络安全文化具有吸引力的一种方法是以认证的形式提供目标。修复技能差距的关键是通过获得网络安全认证帮助员工获得新的领军职业。
通过帮助现有员工做到这一点,您可以帮助减少技能差距并提升您自己的员工。公司还可以与学校合作,鼓励网络安全教育,甚至鼓励高中生获得认证。
使用人工智能工具
人工智能 (AI) 工具可以分析最新数据并更快地发现潜在攻击。此外,可以确定警报的优先级,以便了解哪些是不相关的,哪些是关键的。
现在攻击者正在使用人工智能工具来设计和发起攻击,不使用这些工具的团体正在为他们提供一个良好的开端。在不使用相同或更好的工具的情况下防御这些工具,即使不是不可能,也是具有挑战性的。
让网络安全成为每个人的工作
最大的挑战是你只能控制你的行为。员工需要真正感受到他们每个人都可以有所作为。
有很多事情可以鼓励这种感觉,例如公开奖励报告问题的员工,创建消息以让员工了解当前威胁的最新信息,以及启动秘密购物式计划以查看哪些员工需要更多关于网络钓鱼计划的培训。
还可以与员工分享当前的违规行为如何影响其他公司,例如裁员和收入损失。通过了解单击单个未知链接可能对这么多人产生的影响,员工通常会看到看似很小的行为如何发挥重要作用。
最后,必须不断分享信息并创造正确的文化,直到员工觉得数字安全是他们工作的一部分。这不会在一夜之间发生。甚至在一年内。你必须不断分享信息,持之以恒。
通过坚持不懈并真正相信信息,业务和 IT 领导者可以帮助员工在看到自己可以有所作为时拥有自己的闪光时刻。那时——也只有那时——一家公司才开始走上网络安全文化的道路。