|
|
网络安全中有一句古老的格言,人类是安全链中最薄弱的环节。随着威胁行为者竞相剥削轻信或粗心的员工,这种情况越来越正确。但也有可能将这个薄弱环节变成一个强大的第一道防线。关键是推出有效的安全意识培训计划。
研究表明,2021年分析的数据泄露中有82%涉及“人为因素”。现代网络威胁的一个不可避免的事实是,员工是攻击的首要目标。但是,为他们提供发现攻击警告信号所需的知识,并了解他们何时可能将敏感数据置于危险之中,并且有巨大的机会推进风险缓解工作。
什么是安全意识培训?
意识培训可能不是IT和安全领导者希望在其计划中实现的目标的最佳绰号。实际上,目标是通过改进有关关键网络风险所在以及可以学习哪些简单的最佳实践来减轻这些风险的教育来改变行为。这是一个正式的过程,理想情况下应该涵盖一系列主题领域和技术,使员工能够做出正确的决策。因此,它可以被视为希望通过设计创建安全企业文化的组织的基础支柱。
为什么需要安全意识培训?
像任何类型的培训计划一样,这个想法是提高个人的技能,使他们成为更好的员工。在这种情况下,提高他们的安全意识不仅可以使个人在各种角色中处于有利地位,而且可以降低潜在破坏性安全漏洞的风险。
事实是,企业用户是任何组织的核心。如果它们可以被黑客入侵,那么组织也可以。同样,他们对敏感数据和IT系统的访问增加了发生事故的风险,这也可能对公司产生负面影响。
几个趋势凸显了对安全意识培训计划的迫切需要:
密码: 静态凭据与计算机系统一样存在很长时间。尽管多年来安全专家恳求,但它们仍然是最受欢迎的用户身份验证方法。原因很简单:人们本能地知道如何使用它们。挑战在于,它们也是黑客们的巨大目标。设法诱骗员工交出它们,甚至猜测它们,并且通常没有其他任何东西可以阻止完全的网络访问。
据估计,超过一半的美国员工在笔和纸上写下了密码。糟糕的密码事件为黑客打开了大门。随着员工需要记住的凭据数量的增加,滥用的可能性也在增加。
社会工程学: 人类是善于交际的生物。这使我们容易受到说服。我们希望相信我们被告知的故事和讲述它们的人。这就是社会工程学起作用的原因:威胁行为者使用时间压力和冒充等说服技术来诱骗受害者执行他们的命令。最好的例子是网络钓鱼电子邮件,短信(又名短信)和电话(又名网络钓鱼),但它也用于商业电子邮件妥协(BEC)攻击和其他诈骗。
网络犯罪经济: 如今,这些威胁行为者拥有一个复杂而复杂的地下暗网站网络,通过这些网络可以购买和销售数据和服务 - 从防弹托管到勒索软件即服务。据说它价值数万亿美元。网络犯罪行业的这种“专业化”自然导致威胁行为者将精力集中在投资回报率最高的地方。在许多情况下,这意味着针对用户本身:企业员工和消费者。
混合工作: 据认为,家庭工作人员更有可能点击网络钓鱼链接并从事危险行为,例如将工作设备用于个人用途。因此,混合工作新时代的出现为攻击者打开了一扇门,让他们在企业用户最容易受到攻击时瞄准他们。更不用说家庭网络和计算机可能不同于办公室的同类产品受到保护。
为什么培训很重要?
最终,严重的安全漏洞,无论是由第三方攻击还是意外数据泄露引起的,都可能导致重大的财务和声誉损失。最近的一项研究显示,遭受此类违规行为的企业中有20%几乎因此破产。另一项研究称,全球数据泄露的平均成本现在比以往任何时候都要高:超过420万美元。
这不仅仅是雇主的成本计算。HIPAA、PCI DSS 和萨班斯-奥克斯利法案 (SOX) 等许多法规都要求合规组织运行员工安全意识培训计划。
如何使意识计划发挥作用
我们已经解释了“为什么”,但是“如何”呢?首席信息安全官应首先咨询人力资源团队,这些团队通常领导企业培训计划。他们也许能够提供临时建议或更协调的支持。
要涵盖的领域可能包括:
- 社交工程和网络钓鱼/网络钓鱼/短信诈骗
- 通过电子邮件意外披露
- 网络保护(安全搜索和使用公共Wi-Fi)
- 密码最佳做法和多重身份验证
- 安全的远程和在家工作
- 如何发现内部威胁
最重要的是,请记住,课程应该是:
- 有趣和游戏化(认为积极的强化而不是基于恐惧的信息)
- 基于真实世界的模拟练习
- 全年连续运行,课程简短(10-15分钟)
- 包括每位员工,包括高管、兼职人员和承包商
- 能够生成可用于调整程序以满足个人需求的结果
- 量身定制以适应不同的角色
一旦决定了所有这些,找到合适的培训机构就很重要。好消息是,在线上有很多价格选择,包括免费工具。鉴于当今的威胁形势,不采取行动不是一种选择。 |
|
发表于 2022-11-29 15:55:29