根据世界身份盗窃资源中心的数据,近五年来全球记录在案的身份盗窃行为有6万余起。根据最高法的案例统计,上一年度有数百起典型的侵犯公民信息案,涉及数百亿条记录,每条记录的价格从 1元到50元不等。如果我们平均每条记录5元,那么这些违法行为的总代价将达到数近千亿元。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:在宏观的世界和国家层面,身份盗窃案件引发的诸如电信诈骗等次生灾害频发,在组织机构层面,领导层也经常会谈论拥有网络安全的成本,但是却很少考虑没有网络安全的成本。我们需要反思这种现象,为什么呢?显然,我们生活在数字世界中,越来越多的日常工作和活动已经转移到网上。我们在线工作、交流、开展商务和互动,这使得我们对网络安全的依赖也相应增加。与此同时,网络罪犯可以毫不费力地对我们的家庭生活和工作单位造成严重破坏。原因一方面在于网络犯罪分子们高度的组织化而技术高超,另一方面在于我们使用的设备和系统存在漏洞,更重要的是我们自身也存在人性的弱点,这些弱点很容易被网络犯罪分子加以恶意利用。好的消息是,我们可以借用移动计算设备和在线学习管理系统,提升网络安全防范意识和抗击网络犯罪行为的能力。
人类仍然是任何组织的数字安全系统中最薄弱的环节。人们会犯错误、忘记事情或陷入欺诈行为,这就是网络安全意识的用武之地。网络安全意识涉及对员工进行有关不同网络安全风险和威胁以及潜在弱点的教育过程,现代组织机构中的员工必须了解确保网络和数据安全的最佳实践和程序,以及不这样做的后果。这些后果可能包括失去工作、刑事处罚,甚至对公司造成无法弥补的伤害。通过让员工了解威胁的范围以及安全失败时的利害关系,网络安全专家可以弥补潜在的人性弱点,就如同为系统安装安全修复程序一样。
统计数据表明,糟糕的或者完全缺乏网络安全培训和意识计划可能会产生毁灭性的后果。幸运的是,组织可以从提高网络安全意识这一必不可少的第一步开始,启动一些流程来帮助减轻网络犯罪的影响。那么,该如何设计网络安全培训和意识计划,以让员工及时了解最新的威胁向量,同时教会他们基本的安全原则,以便他们能够在威胁发生时更好地做出响应呢?
首先,要清楚地传达网络安全意识计划,这种做法对于中高层管理人员尤为重要。高层需要了解最新进展,展示出信息安全领导力,做出网络安全合规及最佳实践相关的承诺和引领示范。因为网络攻击的深度和广度正呈指数级增长,仅仅依靠内部人员进行安全意识培训,可能并不足够,特别是对于网络安全培训人员缺乏的组织机构,应该考虑借助外力。随着网络威胁的类型日新月异,包括勒索软件、加密劫持、网络钓鱼、广告软件、路过式下载、间谍软件等,要将这些专业知识宣传好推广好,各类型的组织机构可以从具有强大课件的专业供应商处外包网络安全培训服务。
其次,要让培训变得引人入胜甚至生动有趣,小型会议和研讨会往往是每个人都尽力避免的枯燥乏味的事情。可以通过展示幽默(但具有话题性)的视频或分享古怪的安全相关轶事来保持人们的参与,不过也不要过度娱乐观众。除了面对面的沟通,要让网络安全意识培训成为员工入职流程的重要组成部分,可以使用在线培训平台以及进行模拟钓鱼测试。网络钓鱼测试并非旨在欺骗员工,相反,它们用于衡量整体安全意识培训计划的有效性。培训计划将确保组织、员工以及外部承包商和业务合作伙伴将遵循保护组织信息系统免受数据泄露的流程。
再者,通过评论和重复来强化重要信息,人们常常错误地认为,如果他们做了一次某事,就不必再做一次。网络安全是一个持续的事情,应该包括偶尔的测试和检查,当然,也应该定期安排年度的安全意识培训活动。可以通过模拟钓鱼测试,看看黑客是否可以用完全相同的方式通过员工们窃取重要信息。网络钓鱼测试必不可少,因为它们向员工展示了说服员工点击某物是多么容易,网络钓鱼模拟旨在教育人们不应该使用电子邮件做什么事情。当然也要记住这是培训,目的是加强良好的安全行为,而不是在第一天就试图贬低员工们。安全意识的方面重在激励,而不是打击人们的积极性。
最后,要创造强化和激励的环境,通过创建贯穿每个组织级别、贯穿整个指挥链的安全文化,促进持续的警惕和学习。要认识到这种类型的培训确实会影响组织的安全文化,虽然没有必要重复不断地与员工和用户讨论网络安全话题,但是网络安全应该是一个非常相关的日常话题。
安全意识可以定义为教育员工的技术方法,让他们意识到数据隐私、个人身份和其他经常被互联网犯罪分子入侵的资产的重要性。受过良好网络安全培训的员工对组织数字网络的整体安全构成的风险较小,更少的风险意味着更少的网络犯罪造成的财务损失。因此,为员工的网络安全意识培训分配资金的组织机构应该会获得投资回报。
对于强大的安全意识培训计划,其功能包括如下:培训内容、测试、跟进和持续消息、以及报告员工参与这些计划的指标。其实,安全意识培训平台可以帮助人们以各种方式创建有效的培训。培训计划应根据员工的技术能力和网络安全知识的多样性进行调整。 有效计划的关键因素是结构化课程、通过时事通讯学习的信息、每周电子邮件以及可根据其角色访问的政策更新。与所有类型的培训一样,网络安全培训应该是灵活的,并且不会中断工作流程。为此,使用在线交付,即电子学习的方式是首先。培训人员可以使用内置的内容,或者上传短视频来展示网络攻击示例及其后果,真实世界的例子将帮助员工认识到问题的严重性。电子学习的另一个好处是员工们可以随时返回简短复习以识别和克服风险并处理针对新出现威胁的安全问题。测试是衡量成效的重要工作,可以通过网络钓鱼、课后评估、现场检查、模拟攻击等方式来指导员工们遵循网络安全最佳实践。如果所有员工都接受网络安全实践方面的培训,那么在员工离职时及离职后出现保护失误的可能性就会降低。当然,在商业领域,拥有安全意识人员的公司企业在消费者中的声誉会更好,因为大多数人都不愿意与不可信的组织做生意。
打击网络犯罪虽然听起来非常高科技,其实具体到个人网络安全意识方面,可以使用游戏化的方式,以获得更全面的参与和体验,利用这一点将网络安全培训转变为对知识的追求。电子学习往往可以使用积分来解锁难度增加的级别,并用徽章或证书来奖励那些识别出最多威胁的人员。
与此同时,关于在线安全的所有问题都不应悬而未决。聘请一名网络安全专员,他将负责任地回答员工们可能仍有的任何问题。专员可以进行现场培训课程或现场网络研讨会,通过直播、录播并将视频上传到学习管理平台,来进行充分的教学资源利用。安全性不是一成不变的,我们需要倾听有关员工面临的最新威胁的信息,并制定学习计划来教育他们如何抵御这些威胁,时不时问一问他们可能有什么问题,并提醒他们安全团队永远都和他们在一起。当然,大多数的员工可能不愿提供建议或提出问题,因为他们不想看起来很愚蠢,可以考虑通过不记名的方式来收集网络安全意识反馈,因为这样可以让他们感到舒服的情况下提供意见。此类反馈纳入培训的次数越多,网络安全意识沟通的效果就越好。
网络安全培训平台(电子学习服务)的费用取决于培训计划的类型和持续时间, 这可能会因组织面临的风险和员工的实力而异。当组织使用免费或低成本的外部资源时,可以开发一个基本程序,让员工们积极参与。比如使用开源的学习管理系统并且套用(引用)网络公开的教学资源,当然要保证不侵犯知识产权。更大的组织会有更广泛的方法,因为需要构建定制的程序以满足组织中不同理解水平的员工们。
我们越来越多地使用互联网和移动设备,这让网络犯罪分子们有更多机会利用我们的漏洞。仅在商业领域,一次得逞的网络攻击就可能使公司企业瘫痪,造成在某些情况下无法恢复的损失。通过电子学习,安全培训管理者可以轻松快捷地让学员们了解信息安全概念和技术,包括安全架构背后的原则、如何处理和减少基础设施的漏洞和威胁,以及如何实施风险和事件管理技术来保护关键信息基础设施系统免受网络攻击 。在完成数个小时的在线自定进度学习课程后,学员将收到结业证书,证明其对网络安全基础知识的了解。一旦通过了该门课程,就可以将其提升到一个新的水平。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),以帮助客户构建完善的全员安全防护体系。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。
