選擇安全意識培訓服務商的七個標準
2020年,由于疫情加速全球遠程辦公規(guī)模化和常態(tài)化,企業(yè)攻擊面呈幾何級數(shù)放大,社工攻擊和釣魚攻擊激增。IAM、端點安全和網(wǎng)絡安全意識培訓成為增長最快的“爆款”網(wǎng)絡安全產(chǎn)品/服務。
根據(jù)GoSecurity的調查(下圖),網(wǎng)絡安全意識培訓是當下企業(yè)安全管理者眼中最有效的安全產(chǎn)品/服務,但在企業(yè)整體安全支出中的占比卻最低(不到10%)。
好的網(wǎng)絡安全意識培訓能把“人的漏洞”變成“人肉長城”,把最弱的短板變成最堅固的防線,因此是性價比最高的,能夠快速提升企業(yè)網(wǎng)絡安全韌性的“剛需服務”。
對于IAM和端點安全產(chǎn)品,市場上已經(jīng)有比較成熟的評估工具和方法。但是對于網(wǎng)絡安全意識培訓服務,這個過去非常邊緣化不受重視的“選裝件”,很多企業(yè)的安全管理者依然沒有針對性的選型方法和標準。
事實上網(wǎng)絡安全培訓是一項非常系統(tǒng)和專業(yè)的服務,許多企業(yè)依靠內部培訓團隊,但更多的企業(yè)則向外部供應商尋求幫助,因為安全威脅形勢發(fā)展如此之快,最好的辦法就是將培訓交給掌握最新趨勢的專家。
但是,尋找一個能力匹配、值得信賴并長期合作的安全意識培訓合作伙伴并不容易。以下,我們匯總整理了優(yōu)秀網(wǎng)絡安全意識培訓服務商的七個關鍵屬性。
1. 與企業(yè)安全性原則的兼容性
管理咨詢公司麥肯錫公司(McKinsey and Company)的專家助理合伙人查理·劉易斯(Charlie Lewis)說,安全意識培訓取得長期成功的關鍵是找到符合您組織的安全需求、政策和目標的提供商。在聯(lián)系供應商之前,有必要進行一些企業(yè)內部調研。他解釋說:“安全意識培訓產(chǎn)品應當成為好的網(wǎng)絡安全文化、網(wǎng)絡安全意識和安全變更管理計劃有機組成部分。這三個因素也是安全意識培訓選型和成功實施的關鍵條件。”
美國陸軍網(wǎng)絡領導力教育計劃的制定者,美國軍事學院前美國政治學助理教授劉易斯(Lewis)建議說,選擇安全意識服務商需要達成內部共識,他說:“安全管理者需要與一線員工和業(yè)務負責人合作,以查看特定安全意識服務是否符合他們的需求和利益,這有助于確保選擇正確的產(chǎn)品和服務。”
2. 參與能力
ISACA女性領導力咨詢委員會的創(chuàng)始主席,澳大利亞家庭健康和高級護理服務提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray認為,安全意識培訓必須與企業(yè)文化以及員工能力匹配,提高員工的參與度。她指出:“千篇一律的培訓很難取得成功。培訓必須針對企業(yè)及其偏愛的學習方式進行一些調整。”
商業(yè)咨詢公司Capgemini 北美公司的網(wǎng)絡培訓主管Dan Callahan指出,了解受眾的能力水平對于提供有效的,有針對性的培訓是必要的。他說:“有些培訓是補救性的,并且是由過于簡單的內容驅動的,忽視了員工角色和安全技能的差異。”“安全意識培訓的內容應當緊跟安全形勢,同時與客戶企業(yè)文化的相關性也很重要。”
3. 培訓內容的針對性
德勤網(wǎng)絡和戰(zhàn)略風險部門的風險和財務顧問負責人沙龍·錢德(Sharon Chand)認為,安全意識培訓一定要有針對性。“例如,內部員工和高管所采用的意識培訓方法可能不同于承包商或第三方供應商”。類似的,培訓特權訪問IT員工的方法也與油田操作技術員工的培訓有很大不同。她說:“我們發(fā)現(xiàn),為獨特的受眾定制安全意識培訓內容會大大提高效率。”
美國政府前任首席信息安全官,網(wǎng)絡安全公司AppGate Federal總裁,卡內基梅隆大學亨氏信息系統(tǒng)與公共政策學院兼職教員Greg Touhill表示,要確定網(wǎng)絡安全意識培訓的內容價值,沒有什么比實測評估更好。他說:“我真的很喜歡試用的形式,由隨機的員工組成選型委員會參加競標廠商的培訓計劃,進行試用,以評估他們的能力是否符合要求。”
4. 完善的培訓內容滿足多樣化勞動力需求
與員工分布在集中區(qū)域的小型組織相比,員工分布在區(qū)域或大洲的大型企業(yè)通常面臨更大范圍的本地化威脅。Touhill表示,他會隨時注意安全意識培訓工具,無論其位于何處,該工具在攻擊預防和可用性方面都將與整個團隊相關。他說:“我們在許多非英語母語的國家都有員工。”“因此,我很看重安全意識產(chǎn)品的多語言跨區(qū)域覆蓋能力。”
5. 支持威脅建模集成
大多數(shù)企業(yè)使用某種形式的威脅模型來識別、確認和處理網(wǎng)絡威脅。Touhill推薦那些利用威脅建模的意識培訓產(chǎn)品或服務。“例如,如果有一個特定的國家黑客組織或網(wǎng)絡犯罪團伙正在窺探我的知識產(chǎn)權,我會希望我的安全意識培訓計劃能夠有的放矢,幫助我的團隊了解如何正確應對威脅。”
威脅建模通常被視為純粹的技術范疇,但實際上該模型也可以覆蓋商業(yè)利益和業(yè)務訴求。Callahan說:“重要的是確定您希望企業(yè)受眾考慮的安全意識信息類型……因為在許多情況下,內部威脅是最大的問題。”“良好的網(wǎng)絡意識培訓可以幫助預防和緩解大多數(shù)威脅。”
Lewis認為安全意識培訓服務商有必要了解網(wǎng)絡威脅如何直接影響業(yè)務人員的安全培訓。他說:“威脅建模是成功實施安全意識培訓計劃的關鍵因素。”
6. 合理的價格
Touhill建議企業(yè)信息主管或安全主管與同行多溝通,以確定服務商的報價是否有競爭力。他說:“CISO社區(qū)在共享最佳實踐方面無與倫比。CISO之間的溝通可以幫助他們快速鎖定有競爭力的服務商候選者。”
Callahan指出,CISO們需要提防試圖過度銷售產(chǎn)品或服務的提供商:“現(xiàn)在,許多企業(yè)的培訓內容和活動都有些過載。”他警告說:“因此,如果過多的安全意識培訓內容或信息被提供給員工,他們將超負荷工作,變得麻木。”
7. 提供有效培訓的能力
Chand指出:“在業(yè)務擴展、云計算、人工智能、機器學習、移動性和物聯(lián)網(wǎng)的推動下,生態(tài)系統(tǒng)全球化為攻擊者提供了更大的攻擊面。有效的安全意識培訓是應對這些挑戰(zhàn)的最佳方法。”
為了評估特定安全意識培訓產(chǎn)品或服務的潛在有效性,Stewart-Rattray建議將包括人力資源和其他相關部門負責人在內的關鍵利益相關者納入決策過程。她說:“在評估產(chǎn)品的潛在有效性時,使用跨部門協(xié)作并確保關鍵利益相關者參與決策過程,并且在可能的情況下試用產(chǎn)品非常重要。”
Lewis認為,概念驗證(PoC)試驗是在現(xiàn)實中檢驗安全意識培訓服務有效性的絕佳方法:“隨著時間的推移,您可能會開始看到階段性的培訓成果,例如惡意鏈接點擊率的下降。”“您將需要在整個概念驗證期間測量該指標,并連續(xù)評估該產(chǎn)品。”
如果產(chǎn)品或服務不符合預期,請告知供應商。Lewis建議:“如果該工具實際上并沒有降低網(wǎng)絡釣魚的點擊率或人為錯誤造成的風險,請與服務商合作調整培訓節(jié)奏,如果所有方法均失敗,那么請開始尋找其他供應商。”
確保安全意識培訓方法長期有效是一項開放性的任務。安全團隊必須不斷觀察安全意識培訓產(chǎn)品或服務的有效性。Callahan說:“大多數(shù)安全領導者都知道的一種常見方法是內部網(wǎng)絡釣魚測試。”另一種流行的方法是抽查員工的辦公桌面,查看是否有關鍵或敏感信息泄露的問題。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
