在网络安全方面,不断更新员工的最新安全意识教育是您可以做的最重要的事情之一。人为错误被认为是网络入侵和数据泄露的最常见原因。 Cyber​​security Ventures 预测安全意识培训市场将从 2014 年的 10 亿美元增长到 到 2027 年将达到 100 亿美元.

虽然安全意识教育已成为维护合规性的行业标准,但实施强大、彻底的安全意识计划的目的不仅仅是满足合规性标准。如果员工不了解他们在保护敏感数据和保护公司资源方面的角色和责任,世界上最好的安全系统仍然容易受到攻击。

resources
播客:为什么员工是你的数字...

创建有效的安全意识培训计划需要什么?

以下是回答这三个问题的程序关键要素的细分:

    1. 谁应该参与?
    2. 应该涵盖哪些内容?
    3. 如何创建一个不被遗忘或忽略的程序?

The Who:安全意识培训的 3 位不同受众

让我们面对现实:并非每个人都像我们一样认真对待网络安全。这会使人们难以围绕安全意识这一主题进行交流。为了最大限度地保留安全意识培训,根据与您的员工最相关的内容将内容置于上下文中是有帮助的。

在为您的员工进行安全意识培训时,需要考虑以下三种不同的受众:

    1. 管理— 董事会和安全团队之间经常存在脱节。为了打破这些孤岛,重要的是将您的信息安全培训与高级领导者和董事会关心的更大的业务目标联系起来。当您考虑这些受众时,这里有一些技巧可以打破董事会和网络安全团队之间的隔阂。
    2. 专业角色— 无论您是医院还是零售店,您企业中的独特角色都容易受到不同方式的攻击。影响现金和会计团队的威胁与可能影响采购团队的威胁看起来不同。两个团队都应该知道如何防范影响其专业角色的威胁。
    3. 所有人员——在当今世界,您企业中的每个人都需要对潜在攻击的可能性及其在其中的角色有基本的了解。确保公司员工不易出现代价高昂的错误的最佳方法之一是制定涵盖最重要安全原则的全公司信息安全培训计划。

既然我们已经确定了谁应该参与,作为安全意识培训计划的一部分,您应该交流什么?

什么:6 个关键的安全意识培训主题

An 有效的安全意识计划 必须有多种沟通方法,包括一系列主题,教育用户了解当今世界网络犯罪分子所使用的一系列策略。这些包括:

    1. 物理安全——保护建筑物周边和包含敏感信息的内部区域是重要的第一步。
    2. 密码安全—员工应该了解为什么强制执行 密码 作为用户和公司,要求对于保护自己很重要。
    3. 网络钓鱼和鱼叉式网络钓鱼—员工必须意识到 网络钓鱼 以及与最新网络钓鱼方法相关的后果。
    4. 恶意软件—避免包含恶意软件的 Internet 内容对于信息安全领域的人员来说似乎很直观,但对于日常用户来说,避免这些内容通常不是他们的首要考虑,当然也不是本能。
    5. 无线网络安全-鉴于无线设备和通信的增加,应让员工意识到仅使用安全、经批准的无线网络的重要性。
    6. 安全上网——可以访问 Internet 的员工应熟悉与访问未知和/或未经批准的网站相关的潜在危害。他们还应该明白,如果一个站点被阻止,它很可能是有充分理由被阻止的。

如果员工了解这些术语、定义以及他们可能对企业产生的影响,他们将能够更好地在执行日常任务时做出有安全意识的决策。

方法:安全意识培训案例研究

这些想法中的每一个如何对您的业务产生切实的影响?以下是两家位于纳什维尔的公司,它们在安全意识培训方面表现出色:

    1. Anderson Benson 是一家处理网络安全案件的保险和风险管理公司,帮助其客户了解最新的网络和数据泄露机制。他们还更进一步,将他们的发现重新用于他们自己的内部受众,以保持知情。
    2. 纳什维尔的帕特森知识产权法在对员工进行安全意识教育方面也表现出色。例如,该公司最近制定了自己的网络安全实践政策,例如密码管理、安全文档存储、网络访问、个人设备的使用、云服务供应商等。

帮助员工提高安全意识的 5 种策略

安全失败的原因有很多,但最容易被忽视的原因之一是人。最先进的安全技术工具可以保护您免受大量恶意软件和病毒的侵害——但它并不总能保护您免受未能实施适当“网络卫生”的用户的侵害——并通过不良的网络安全做法在不知不觉中将信息置于危险之中。

  • 您是否已将工作文件下载到不安全的家用计算机以便继续工作?
  • 您是否已通过电子邮件将敏感信息发送到您的个人帐户以备后用?
  • 您是否通过星巴克等公共 Wi-Fi 网络访问过信息?
  • 您是否向您的同事提供了“以防万一”的密码?
  • 你的密码是“密码”吗?

这份常见安全“失败”的候选名单发生的频率远高于您的主管所希望的。老实说,他们可能是最大的罪犯,对吧?

许多员工没有很强的安全意识或必要的培训来保持数据安全所需的警惕性。一个好的起点是教育员工如何帮助公司将数据被盗的风险降至最低。让每个人都知道他们在加强组织网络安全方面发挥着积极作用。相当大比例的员工认为他们没有任何责任协助 IT 部门解决系统和网络安全问题。

以下是一些帮助员工提高安全意识的实用策略:

1. 营造安全文化

考虑到我们在新闻中都看到的引人注目的违规行为,这似乎很明显,但没有足够的组织将网络安全作为优先事项。他们也不为员工提供详细的安全教育和培训。频率也很重要。一年一次的培训是不够的。专注于培训的定期提醒和更新。不要忘记培训高级员工,包括最高管理层。确保员工的入职培训包括足够的安全培训,从密码强度的最佳实践到确保物理办公空间的安全。

2. 用真实的例子来教育

这里的信息是关键,因为员工将对现实世界的例子做出反应。请务必分享公开数据泄露的详细信息,以及最初的切入点通常是如何通过人员失误、人为错误或松懈的安全措施获得的。向他们展示看似无害的做法如何导致违规和 量化这对您的组织造成的伤害。

3. 方便员工提供帮助

现在每个人都知道应该删除来自尼日利亚王子的电子邮件呼吁,但员工需要了解公司面临的不同类型的攻击和漏洞,以使他们能够更轻松地识别威胁。创建文档和培训辅助工具供员工参考。制定报告和上报流程,了解员工在怀疑网络泄露时应如何应对。

4. 给予支持

网络安全知识不容易或普遍理解。您组织中的许多人从未考虑过网络威胁。没关系。为他们提供一个开放的环境来提出问题,让他们不会因为知道的少而受到评判。

5. 安全的 C-Suite 买入

有时,高层领导没有将安全放在首位,因为他们没有将这些点与安全失败的更大业务后果联系起来。虽然 Target 和 Sony 的高调漏洞引起了董事会和高管的注意,但许多安全团队仍然必须为支持数字防御所需的额外预算和更高的优先级而奋斗。

安全专业人员如何克服这一制度挑战?考虑如何将安全目标与更大的业务成果和目标联系起来。高管们从风险和回报的角度思考——解释公司的网络安全实践如何使公司面临更大的问题——以及它如何影响业务。

通过使您提出的威胁与公司的整体风险状况成比例来保持您的信誉。不要夸大风险或推测可能的问题——让你与领导层讨论的挑战有根据且相关。当您需要报告紧急威胁时,这将得到回报。

网络安全似乎是一个技术问题。在很多方面都是如此,但值得记住的是,安全有很多方面,不仅仅是防火墙和加密。花时间加强人与网络安全之间的联系是所有公司都应该进行的一项投资,以确保每个人都尽自己的一份力量来帮助确保您的网络安全。

查看什么软件买球免费指南, 违规:预防、检测和响应的网络安全最佳实践,了解有关确保为您的公司提供最安全网络安全的更多信息。

您准备好加强安全意识培训计划了吗?

无论您是想加强整个网络安全计划还是更新您的意识培训,什么软件买球 LBMC 信息安全团队都可以提供帮助。请随时查看什么软件买球资源和播客库,其中提供了可用于增强网络安全各个领域的具体见解。或者, 与什么软件买球团队联系 详细了解我们如何帮助制定安全计划计划或培训框架。