一项针对安全专业人员的调查表明,今年有87%的大中企业已经实施了某种形式的网络安全意识培训。这数字虽然不错,但是只有24%的受访者表示他们的员工们会积极参与到网络钓鱼事件的安全检测和报告行动之中。对此,昆明亭长朗然科技有限公司网络安全意识专员董志军表示:这些统计数据告诉我们至少两方面信息。第一,网络安全意识现在已经进入青春蓬勃期,几乎所有组织机构普遍会认为定期培训可以提高企业安全性,而仅靠技术无法做到这一点。第二,要达到成熟稳定期,我们还有很长的路要走,要知道,减轻现代网络风险的唯一真正方法是积极改变员工行为并在组织内部建立积极的安全文化。显然,当下的网络安全意识培训计划需要进一步改进。
尽管很多组织机构在表面上高度关注网络安全,但是他们通常不遵循防止数据泄露的最佳做法。原因之一是信息安全领导层和员工们对安全措施的看法完全不同,原因之二是组织机构对安全风险缺乏重视,数据安全培训工作过时了或者不够。
要知道,在对安全的认识方面,组织机构并不像我们想象的那么和谐一致。比如,67%的员工们认为IT团队应对电子邮件安全担负完全的责任。然而,有83%的信息安全领导者担心员工们通过电子邮件渠道丢失数据,但是对应的预防措施却往往没有到位。此外,98%的信息安全领导者还非常重视常规的入站安全威胁,例如网络钓鱼、勒索软件和恶意软件等等,但是87%员工们认为入站安全威胁微乎其微、不值一提或者根本不存在。鉴于员工和信息安全领导者之间存在如此严重的脱节,当前的安全意识计划没有预期的那么有效,也就不足为奇了。
无疑,电子邮件仍然被商业领域广泛使用,仍被视为发送敏感信息的最常用方式,但是,不同的组织机构、不同的人员对敏感信息数据的保护措施存在差距。比如:发错附件或者错误使用“全部回复”等人为因素造成的电子邮件泄密事故,几乎在每家公司都发生过。如果没有可靠的预防措施,这些人为错误将继续发生。
关于邮件安全的知识容易灌输,想让人们变得警惕,在发送邮件之前细心检查却是很难的一件事儿。此外,实施安全意识计划的艰难挑战包括实现用户接受度、合理安排工作量和分配资源,以及计划执行。在内容方面,关于信息安全方针政策、法律法规、行业标准、作业流程和系统操作方面的培训比重增加,82%的受访者表示课程内容含有安全法规相关要求。
法规遵循(合规)是网络安全工作的驱动力之一,同时也对网络安全培训工作提出要求,在提高安全意识方面,传统上是跟随安全政策及技术管控措施,新的方向则是以人为中心,制度流程的建立、技术系统的实施在经历多年的发展后,相对成熟稳定了。而如同反钓鱼、防社工、防大意等等人为失误的问题要解决,无疑需要以人为本。当下,让员工参与进来,提供定制化的安全意识培训内容和服务,并获得他们对安全的承诺,是减轻网络风险的首要方法。
要让信息安全领导层和员工同达成一致,确保其安全的需求非常重要。减少安全意识培训计划的数量是迈向更安全的数字环境的重要一步,组织机构需要为员工们腾出一些学习时间,安全意识培训活动不应成为负担。这就需要在培训内容方面,进行精简,有些课程内容过于“啰嗦”及“含蓄”,不够直接,浪费员工们的宝贵时间真是不应该。培训内容除了硬核的知识宣教之外,还需要建立责任感、提高警惕性、重塑安全行为、培养安全习惯。当然,这些也需要管理方面的同步行动,比如对安全实践的频繁审查(清洁桌面检查),以确保更加主动地应对人员错误带来的网络风险。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。
