员工是公司最大的资产,同时也是最大的安全隐患。
isaca网络安全咨询委员会主席eddie schwartz说:“看过去五到七年的安全事故,很明显,无论是意外还是故意,人都是安全漏洞最重要的一个切入点”。
(isc)2首席运营官维斯利·辛普森表示,过去公司每年都会对员工进行培训,但是这样还不够。
辛普森表示企业必须做人工修补:类似于硬件或操作系统更新,需要持续给员工介绍信的安全漏洞,并教会他们如何识别和避免这些漏洞。
辛普森说:“员工是企业一部分的资产,也需要不断投资” “如果不能让员工不断成长,那么为危险就有机会威胁你。” 他补充说,即使是一家小企业,员工只有数百甚至几十人,这样的培训也是值得的。
不过,forrester分析师jeff pollard表示,同样重要的是对员工的认同。pollard说:“员工对每一个企业组织都有潜在攻击可能。“我不喜欢把人看成是安全漏洞的原因是因为它鼓励了受害者的心理。安全团队是为了保护信息、人员和业务而存在的。”
我们通常认为员工打开受感染的点子邮件是导致攻击发生的主要原因,pollard说。,但事实并非如此 ,当攻击者在发送电子邮件之前,该组织就已经受到攻击,这也意味着攻击路径中的所有其他安全控制失败,他补充说。
这里有10个技巧,帮助所有员工了解网络风险。
进行“现实模拟”训练
施瓦茨说,最好的训练是“现实模拟”训练,用户进行特定于他们工作环境的模拟攻击。
“让他们成为攻击的受害者,了解他们从这次攻击中学到的经验教训,以及对他们的个人生活的影响,他们如何能够阻止它,“施瓦茨说。“然后,要求与他们的同伴群体分享经验。”
isc(2)会进行定期的钓鱼测试,it团队向组织中的所有员工发出一个假钓鱼电子邮件,并衡量有多少人点击它,辛普森说,然后他们根据部门和类型的信息来分解数据,以便针对不同领域的问题进行专门的培训。
从高层买入
ciso需要使企业最高管理层意识到潜在破坏后果。通常情况下,要实现良好的网络计划,必须将人员、硬件和软件都计划在年度预算中。
在入职开始培养网络安全意识
从员工第一天到公司开始进行安全培训,建立正确的安全思维方式,这样的培训并且是持续性的。
评估
要不定期的对员工和系统进行评估,了解企业受攻击程度的难易,不评估很难知道安全状况到底是糟糕还是安全。
沟通
为所有员工制定一个如何最好地传达网络安全信息的计划,让所有部门参与培训和学习。
创建一个正式的计划
it团队应该制定一个正式的,文件化的网络安全培训计划,经过审查和更新,并提供关于攻击向量和其他风险的最新信息。
任命网络安全文化倡导者
技术领导者应该在企业的每一个部门任命网络安全文化倡导者。这些倡导者可以作为ciso的延伸,并保持员工的培训和积极性。利用it部门以外的公司资源,这经常是被忽视的方式。
提供持续培训
网络安全培训应该是持续性的,在组织的各个层面上,具体针对每个员工的工作。“如果你是一个最终用户,就必须接受与你可能收到的攻击类型相关的培训,例如,攻击你的电子邮件或针对您持有的工作类型的攻击,”schwartz说。“如果你在it领域,攻击可能更具技术性。
强调工作和家庭安全的重要性
领导者应该帮助员工了解网络卫生安全的重要性,不仅在工作场所,包括在家里,教给用户隐私、安全以及在工作中所学到的知识如何在家庭和个人生活中应用,他们可以随时应用,不仅仅是在工作中。
奖励员工
奖励用户发现恶意电子邮件,并分享有关用户如何帮助阻止安全问题的故事。领导应该理解员工犯错,员工每天发送或接收上百封电子邮件,避免其中一封或几封中携带攻击是有困难的。
虽然这些培训提示可以帮助,但教育不是一个完美的解决方案,即使在最先进和最新的教育方案中,仍然有一定比例的攻击可以通过,即使在最有启发性和有用的教育计划中,仍然有4-6%的成功率,甚至在所有的培训都完成了,所以,培训只是防范高级攻击其中方式之一。