如今我们生活在一个数字化的时代,我们的个人生活和职业生活在互联网上交织在一起。几乎所有人都活跃在线、使用新技术并使用移动设备,这使得黑客比以往任何时候都更容易找到新的攻击目标。如果您所在组织中所有员工相关的个人或财务数据泄露了,或者被网络犯罪分子获得了,那么会造成什么样的后果呢?接下来组织可能会陷入数十万甚至数百万的攻击补救耗费之中,这必然是一场艰苦的网络安全攻防战斗。如今,网络犯罪分子的攻击变得越来越狡猾,而多达90%的数据泄露是由于人为错误造成的。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:缺乏网络安全意识培训计划的组织将面临重大的信息安全风险。如果用户没有网络安全意识并且不知道他们在做什么,那么即使是世界上最好的技术安全解决方案也无济于事。不过,组织可以通过多种方式武装员工,防止攻击者使用狡猾的方法来骗取敏感信息或进行现金转账。
为什么要向员工传授网络安全知识?外部威胁,比如黑客越来越聪明,掌握了渗透网络和IT系统的创新和复杂的方法,同时,也熟练使用社会工程学,对员工们的人性弱点进行利用。因此,必须开展网络安全意识培训,发动网络安全意识计划,号召组织内的员工采取主动行动来加强网络防线,并确保尽一切努力保护组织免受网络攻击。此外,随着越来越多的员工在家工作,攻击事件也随之增加。瘟疫让许多组织在还没有准备好之时,被迫允许员工远程工作。网络犯罪分子正在利用工作环境中的这种变化来追踪毫无戒心的人员和不安全的设备。因此,我们需要让员工关心网络安全,就像需要让他们关心空气污染一样。
当然,合规也是一种驱动力,特别是对于大型组织、关键基础设施而言。组织的合规要求逐渐以员工培训为中心,网络安全法等合规性都有强调员工培训的要求。其中还包括保证所有员工都为这些法律规定做好充分准备并理解他们所承担的责任和义务。不遵守规则或者违规的话,组织可能会被罚款并最终损害其声誉。 因此,通过良好的安全意识培训,组织可以展示良好的合规性,并对网络安全时间做好防范和应对的准备。
话说回来,在遭遇安全事件后,每个人都会关心这个话题,但是那种学习的代价太高。在日常生活中,我们也能看到相关的网络安全宣传,但是通常来讲这个话题给人的感觉是枯燥乏味。根据科学研究,当人们体验到乐趣时,大脑会多参与给定活动。以下是关于如何让网络安全培训变得新鲜、有趣和充满活力的专家建议。以下是在创建安全培训意识计划时需要考虑的事项,员工网络安全培训不再是可选的,而是必须的。通过参训,员工们可以在组织内部参与、沟通和高效地进行工作,而不会面临信任问题。
1.关注新出现的威胁。网络安全形势随时可能发生翻天覆地的变化,使用安全培训意识供应商或服务来把握市场脉搏就显得非常重要,这样做员工们才不会被最新的骗局吓得措手不及。除非有专门的信息安全意识培训部门,否则这个细分的工作,还是交给专业的机构比较合适。最好选择一个培训平台,不仅有过去的数据泄露事件以及组织如何应对这些事件的经验和教训,而且还可以让培训材料与实际发生的新泄露事件保持时间上的同步。针对每一个安全意识主题,每一种场景,都有多个类似的案例以及知识库。
2.从新员工入职的第一天开始。当一名新员工入职时,就应该让员工在网络安全方面做好准备,以使其有能力应对日常工作中可能遇到的网络安全威胁。市场上有几种安全培训载体,可以很容易地纳入组织的新员工入职流程,除了常规的签署安全责任书和保密协议之外,还有强制性的课程学习任务。只有新员工证明了其所拥有的安全知识和技能可以胜任工作之后,比如通过了课程的考试,方可向其提供计算设备、对其开通系统的账号和访问权限等等。否则,因为安全意识入职教育的不足,导致的安全事件,算谁的责任?
3.增加学习的互动度。传统的大型会议室不适合网络安全意识,在远程办公时代,无论地点如何,长时间的讲座都会让员工感到厌烦。但是,举办虚拟全体会议,让安全专家解决网络安全问题可能是提高参与度的好方法。当员工能够与演讲者互动时,他们会保持主人翁意识和赋权感。如果没有足够的安全专家人员,可以考虑使用有趣的互动式教程,包括带有挑战模式的交互式动画视频、游戏化电子学习等等。切记不要搞冗长的单向式视频讲座,那种效果不好,学员不是离开了屏幕就是快进了或者神游了。
4.多多解释为什么。很多学员会觉得自己并不缺乏安全意识,或者觉得安全知识与自身关系不大。这两种认识都很危险,通过安全模拟提供的即时反馈进行学习可以帮助概念坚持下去,但是要想走得更远,可以通过明确培训的重要性来实现。意识和培训材料需要清楚地概述为什么安全在工作和家庭中都很重要,换句话说,不仅要让学员知道该怎么做,更要知道为什么要这样做。当学员们掌握了信息安全的核心基本要义之后,大脑中才会深深烙下永久的安全理念,进而在面临类似的安全隐患、威胁或问题时,能够“熟能生巧、触类旁通”。
5.加强模拟测试。前面我们说到安全事件会给人们以深刻的教训,只是真实的安全事件成本过高。模拟的攻击场景则可以在不带来实质损害的前提下,给用户逼真的安全事件及教训体验,进而使用一种类似的“边做边学”的方法来阻止员工在工作过程中可能遇到的安全威胁。早期的模拟训练往往用于提高飞行员和军事人员在具有挑战性的情况下的反应能力,并教他们如何应对。在信息安全培训中可以使用类似的方法,让员工接触最新的欺骗和攻击,帮助他们防范可能导致数据泄露的风险行为。在更广泛的范围内,模拟测试还可以帮助员工发现一些浮出水面的安全问题,并在问题升级和变得更糟之前缓解这些问题。
大多数网络犯罪事件都是从较小规模开始的,并非一蹴而就或者无征兆的,直到为时已晚才成为全面的数据泄露事件。广泛发动群众的力量,可使组织获得“实时应对和减轻威胁”的能力。当然,这需要组织实施网络安全培训计划,通过教育用户和升级信息安全防线来帮助。总之,在当前的数字化时代,黑客等网络威胁的攻击面已经由技术漏洞转向人员弱点,通过充分的安全意识培训和网络犯罪防护计划,组织可以建立有效的安全策略,以保护自己免受新出现的网络犯罪威胁。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
