網絡安全意識培訓怎么做?多位網絡安全專家給建議!
網絡“黑客”,想必大家都聽說過吧,那網絡安全意識培訓的重要性就無需多言了。但很多企業在實踐中卻面臨兩難境地,力度小了,員工敷衍了事;力度大了,方式不對反而會起反作用,甚至會讓網絡安全意識培訓在企業內部落下壞名聲。
網絡安全意識培訓怎么做?
網絡安全意識培訓該如何進行呢?有沒有讓員工“印象深刻”同時又有參與積極性的方法呢? 看看多位網絡安全專家給出的八大建議:
一. 游戲化
Auth0安全與合規高級總監DuncanGodfrey表示,人們喜歡邊做邊學,安全部門需要創造既促進教育又激發興奮的挑戰。
例如,內部漏洞搜尋不僅鼓勵員工安全發現并報告漏洞,而且還可以識別公司基礎架構中的威脅和嚴重錯誤。
Godfrey說:“這一挑戰促進了員工之間的健康競爭,并在我們的日常工作中引入了令人興奮但又富有成效的使命。發現嚴重漏洞的任何員工都會獲得公司內部的名人堂榮譽以及Auth0贓物獎。”
第二個挑戰是網上誘騙:要求員工“像黑客一樣思考”,并嘗試詐騙Auth0的網絡安全文化經理。
Godfrey說:“這項以受控和安全的方式進行的挑戰為我們的員工帶來了一項有趣的任務,使他們能夠更好地了解安全人員日常防御的各種攻擊類型。”
二. 將安全意識培訓整合到入職流程
S3Consulting的首席執行官兼創始人JohannaBaum說,在新員工入職的過程中,他們就應該接受一些意識培訓。
她說:“在S3中,一旦通過入職頒發證書即可接受安全意識培訓,包括每個客戶都必須參加。如果沒有成功完成,他們將無法完成入職流程或某些資產的分配。”
三. 鼓勵員工提交錯誤報告
電子郵件安全公司Tessian的首席執行官兼聯合創始人TimSadler說,每個人都會犯錯,“但是人們控制的敏感數據比以往任何時候都要多,例如客戶,財務和員工信息。這意味著即使是最小的錯誤,如意外將電子郵件發給錯誤的收件人,都可能會嚴重損害公司的聲譽。”
Sadler提倡通過鼓勵員工提交錯誤報告來使安全意識更加普及。
他說:“公司需要建立一種安全文化,以鼓勵員工向IT部門報告錯誤。否則,這些錯誤將繼續發生,而且無法了解它們的發生方式或原因。”
四. 基于角色和年齡的針對性安全意識培訓
網絡安全培訓公司Cybrary內容運營主管WillCarlson說,為了使安全意識盡可能成功,安全領導者需要確保意識培訓項目對于最終用戶而言是可行的和有針對性的。
他建議根據最終用戶在公司中的角色,提供定期的“有的放矢的意識培訓”。
Sadler還認為,組織還需要針對不同年齡量身定制安全培訓內容。
他說:“例如,我們的數據表明,在工作中受到尊重對老一輩很重要,因此他們可能更不愿承認自己犯了一個錯誤,因為他們不想丟臉。另一方面,年輕的員工對尋求知識更感興趣,因此我們應該向他們傳授黑客用來針對他們的技術,以便他們知道該怎么辦。”
五. 利用多種媒介
IT和管理服務公司CarouselIndustries的CSO和CIOJasonAlbuquerque指出,企業應當采用“全渠道交付”系統來提高網絡安全意識和教育水平。
他說:“我們現在向所有員工每月發布兩次網絡安全公告。“所有內容都基于易于理解和具有教育意義的現代通信媒體(包括短視頻、行業文章、電子郵件、MicrosoftTeams消息等)。
Albuquerque表示,他還計劃通過使用呼叫中心技術、知識庫和人工智能將內容分發渠道擴展為包括SMS消息,從而使安全意識信息傳播更快,更具針對性。
六. 將安全培訓“嵌入”軟件開發流程和文化中
DevSecOps是一開始就將安全性嵌入軟件設計中的文化,在許多組織中廣為流行。但是,即使您還沒有實施DevSecOps,也要考慮對開發人員進行安全意識方面的培訓。
Checkmarx應用程序安全全球總監MatthewRose說:“安全意識培訓應該是DevOps的內在組成,而不是額外的單獨任務。開發人員喜歡留在自己喜歡的環境中,如果培訓使他們脫離了這種環境,他們會認為這是繁重而令人沮喪的,而不是信息豐富和具有激勵性的活動。”
KennaSecurity的安全和合規經理JerryGamblin表示:“企業應該花時間建設安全中心內容,在其DevOps團隊中培養安全知識“部落”,其中包括專門的語言安全培訓、支付安全會議費用或提供與安全DevOps和編碼有關的書籍的安全庫。”
七. 安全意識帶回家
如今,遠程辦公已經成為一種新常態,這意味著員工家庭其他成員可能正在使用同一路由器訪問工作和學校。
HomeAccessHealthCorp.信息技術副總裁兼安全官,ISACA董事會主席PamNigro表示:“鑒于這一現實,我認為讓員工的全部家人參與網絡安全意識培訓非常重要。”
Nigro的團隊創建了簡單的安全意識消息,供父母與孩子分享,這是教育所有人的努力的一部分。
基于云的軟件提供商Datto的信息安全總監ChrisHenderson表示,他還在努力幫助遠程員工改善安全狀況。
他說:“Datto還一直在為員工提供其家庭安全狀況的評估,為他們提供保護路由器和端點的幫助,以確保我們新的遠程環境不會遭受攻擊。”
八. 尋找部門級的安全意識“二班長”
安全公司Cyphere的常務顧問和專業服務總監HarmanSingh建議,安全團隊需要有意識地去“籠絡”那些熱情主動的員工,這將有助于安全團隊傳播安全意識信息。
他說:“就像在辦公室進行演習一樣,從每個部門選擇和培訓安全意識“二班長”,可以與他們聯系以幫助隊友確保更快的反應。這是內部更有效的社交工具。”
網絡世界總是存在“虛假”與“陷阱”,所以我們要使用時,要加以注意,提供自身的網絡安全意識。而至于網絡安全意識培訓怎么做?不妨看看以上的多位網絡安全專家給出的建議!
