人类的工作方式一直在不断变化,今天,业务对信息数据的依赖比历史上任何时候都要强烈,保持可靠的数据安全实践至关重要。对此,昆明亭长朗然科技有限公司信息安全宣教专员董志军表示:随着系统安全性的增强,最大的威胁不再是病毒和黑客等等传统的外部技术威胁,反而是内部的工作人员,包括无知、大意和故意行为。据统计,88%的安全问题涉及员工失误,这让组织机构蒙受了巨额的业务损失和补救耗费。
通过安全意识培训活动,提升员工们对网络威胁的意识认识,各类型的组织机构都可以避免和减少人为失误造成的损失。即使是中小微型企业,也将可以保护好业务数据、基础架构和资金财产的安全。
为确保安全意识培训计划取得成功,需要涵盖足够的安全知识点,如下是我们整理的一些关键点。
- 桌面安全,也称工作站安全、终端安全,指在办公室中、家中或外部差旅途中的计算机设备使用安全,通常包括计算机设备的安全设置,如设备的锁屏设置、保密措施,以及离开时的锁定措施。
- 密码安全,也称口令安全、身份安全,通常来讲,复杂的密码是安全性的起点。大多数设备、网站及应用都建议使用难猜也难忘的短语,至少包括八个字符且大小写混合。
- 恶意软件,也称防病毒,员工们掌握基本的恶意软件防范知识,即安装、启用防病毒软件,并保持更新。在发现可疑的恶意软件时立即报告。更重要的是保持谨慎方能免于感染新型的未知病毒。
- 网络钓鱼,也称社会工程攻击,包括电信诈骗、钓鱼邮件及网站,员工们需要能够识别假冒电子邮件和登录页面的技巧,包括不请自来的附件、可疑的内容、拼写错误等等。
- 无线网络安全,也称WiFi安全使用,员工们需要能够掌握无线网络的安全隐患,辨识不安全的网络连接。在不得已使用不信任的网络时,避免泄露敏感信息。
- 安全事件报告,通常来讲,员工们平均需要半个小时方可报告可疑内容。而对于安全威胁的抗击而言,争分夺秒的速度至关重要。为减少人为错误的数量,员工们需认识到立即报告安全问题或疑问的重要性,以最大程度地减少损害。
上述是常见的几个主题知识点,对于不同的角色和岗位人员来讲,可能需了解并不限于这几条的更多内容,比如财务人员就需要了解常见的财务诈骗、总裁诈骗手法,以慧眼识别骗术并严格遵守相关工作流程;同样,IT客户人员需要了解假冒身份的钓鱼攻击,以避免冒充员工身份的电话骗术。那么,该如何进行安全意识培训,也就是说有哪些常见的方式呢?
- 在线培训,在线培训是员工入职培训或季(年)度培训计划的重要部分,是让学员通过计算机和互联网技术,参加安全意识学习的一种电子学习方案。如果组织有内部的学习平台,可以向安全培训课程的供应商进行咨询和选购。
- 课堂培训,课堂培训一般是经典的安全讨论会和不规模的安全讲座,包括每月(或每季)的涵盖各种安全主题的线下活动,有助于在小规模范围内聚集重点人群,进行安全方面的沟通协调,使安全成问题得以快速讨论并得出结论。
- 宣教活动,在办公室周围定期张贴安全挂图或海报,以作为提醒。当然,也有一些使用电子屏幕进行宣传的方式,比如在电梯、过道、餐厅或大厅的宣传屏幕上播放安全意识动画视频。可以自制宣传内容、委托制作或采购标准化的作品。
- 钓鱼活动,可以模拟钓鱼网站或发送钓鱼邮件,以测试和跟踪员工们的安全绩效。从测试数据中,可以确定哪些用户需要相关的安全意识培训,并获得安全意识不断改进的趋势图示。
上述几种安全意识培训方式可以单独使用,也可以混合使用,具体要看组织的实际情况和预算。甚至也可以有更多的活动方式,比如在安全活动周搭建安全挑战赛擂台,使用“微学习”小游戏、安全知识小刊物、安全知识征文比赛活动等等。
不管采用哪种方式,都需要素材、人员和时间等资源的有效结合,想要获得安全意识培训的良好效果,需要建立一套可靠的安全意识培训计划。如果您不是很清楚该选择何种培训类型,该为受众群体设置哪些课程主题知识点,您可以告诉我们该项目的预算,以便我们帮助您确定一个适用的方案。当然,这个方案是需要持续进行的,也是可以不断改进的。