我们5分钟的安全意识培训指南

 
安全态势的发展速度使对企业网络防御第一线威胁的最新威胁保持最新具有挑战性。对于那些不参与网络安全的员工来说，要知道在勒索软件，网络钓鱼和数据泄露方面需要注意的问题甚至更加困难。
IT专业人员在最近的一项调查中表示的四大网络安全问题是对机密数据的破坏，其中有68%的人将其突出显示为主要问题，其次是网络钓鱼攻击(68%)，CEO欺诈攻击(68%)和勒索软件攻击(62%)。
所有这些攻击方法都可能涉及剥削公司中的员工，因此，培训是减少员工意外打开恶意电子邮件附件或沦为社交工程尝试猎物的风险的一种方法。
什么是安全意识培训?
顾名思义，安全意识培训是在培训员工有关潜在的网络威胁的外观，以便他们能够避免攻击。
它不能保证员工永远不会犯错，但是通过提高人们对黑客尝试获取信息的常见和新兴方式的认识，它将网络安全置于他们的首要考虑之列。
安全意识培训应集中在三个主要方面：首先，应如何在企业中使用IT和设备;其次，安全威胁是什么样的?第三，如何应对可疑活动和实际的网络攻击。
大多数组织都应制定有关如何使用设备的公司政策，无论这些设备是企业发行的还是个人发行的。影子IT(或未授权的业务设备和应用程序)是一个安全问题，可能会使企业容易受到攻击，因此，重要的是要制定并定期加强对员工可以使用哪些设备以及对此的限制的期望，尤其是在连接设备时到公司网络。
使员工了解最新的安全威胁是安全意识培训的另一个重要方面。这可以是所有内容，从网络钓鱼邮件的基本内容到网络安全领域最前沿的趋势。
最后，至关重要的是，不要遗漏在收到可疑电子邮件时应采取的措施，例如报告程序，向谁求助以及在遭受网络攻击时应采取的措施。这也是突出组织的灾难恢复计划，改善业务响应方式并确保所有员工都参与其中的好地方。
安全意识培训的利弊
56%的安全专业人员说，员工是造成数据泄露的第一大原因，因此，提高员工对网络威胁的意识可以带来很多好处。
频繁的安全意识培训将有助于使网络安全融入组织的文化。集体意识是一种强大的工具，对于员工流动率高的企业尤其重要。
如果员工对收到的电子邮件，设置的密码以及如何在内部和外部共享信息保持警惕，那么可以大大避免因愚蠢的错误而给业务造成灾难性后果的风险。
接受定期培训的一个明显好处是合规性提高。如果发生数据泄露，表明您已经接受了适当的培训，并且已被执行，这将是确定业务有多大错误的关键部分。
但是，始终存在这样的风险，如过于频繁的火灾警报一样，过多地强调安全意识培训可能会使员工对潜在的威胁负责。
某些形式的安全意识培训也可能非常昂贵，尤其是动手和基于课堂的培训，这种培训通常比在线课程或内部简报更有效。但是，实施安全意识培训的成本应与成功进行网络攻击的长期财务和声誉成本进行权衡。
如果员工有恶意行为，安全意识培训也将无济于事。但是，这确实意味着，如果在培训中定期强调政策和程序，他们将不会无知。
如何实施安全意识培训
安全意识培训的很大一部分是突出员工可能会养成的不良习惯，并提高对后果的意识。可以通过四种主要方法来实施安全意识培训，以改善其中的一些简单漏洞：
一种教室式的方法，员工可以聚集在外部或内部房间进行专门的培训。这可以由IT或安全团队的成员提供，也可以聘请外部培训公司。
在线课程，可以定期提供给新员工和现有员工。在线课程或培训视频通常用于合规性培训，消防安全等等，并且也可以轻松用于安全意识。尽管不能保证员工在进行在线课程时的参与度，但是几乎可以由新手立即完成这些课程，最后可以使用测验来测试理解能力。
内部测试是一种越来越流行的方法，公司将模拟网络钓鱼攻击发送给自己的员工。然后，安全人员可以确定谁是网络钓鱼攻击的牺牲品，并在必要时使用它进行进一步的培训。布里斯托尔市议会最近向其同事发送了一系列欺骗性网络钓鱼攻击，将单击链接的人员发送到目标培训站点。
常见的提醒，例如海报，可以在办公室中显着地显示健康和安全公告，或特定的公司电子邮件，这两种邮件都可以用来覆盖主题，例如可疑电子邮件的外观，如何验证链接以及邮件的重要性。安全密码。
任何形式的意识培训的关键是要经常进行。根据Vanson Bourne的全球研究，目前，只有11%的组织不断培训员工如何发现网络攻击。 52%的员工每季度或每年执行一次培训。
但是，每年的培训意味着新员工可能会接受11个月以上的培训，而无需进行任何形式的安全培训，这极大地增加了他们意外单击恶意电子邮件甚至更糟糕的风险。
攻击发展的速度意味着，持续培训是使员工了解最新信息的最佳方法，并将网络意识嵌入公司文化。
谁主动采取行动?
安全意识培训减少了员工遭受网络攻击的可能性，但是由哪位员工负责组织培训?众所周知，此类举措属于多个职位的职责范围，CIO，IT经理甚至是承担起重任的人力资源。
可以理解的是，IT经理最热衷于安全意识培训，因为他们精通网络威胁。在发生违规事件时，他们至少要承担部分责任，通常情况下，人们也在推动部署培训。但是在大多数组织中，CIO都对他们一无所知。
高级业务经理可能会拒绝接受培训，因为他们的员工日程安排会受到干扰。尽管培训最初确实会影响生产率，但从长远来看，消除安全威胁可以确保更高水平的生产率。毋庸置疑，业务经理通常在引入培训方面只扮演辅助角色。
为了使安全性在员工级别上得到应有的重视，必须由董事会对其进行管理。如今，CIO经常在最前面坐一席，以使高级管理人员了解安全问题和合规风险。通过充当IT经理和高层管理者之间的桥梁，CIO可以确保董事会认真对待安全性，在加强组织内部的安全培训计划方面还有很长的路要走。
总体而言，CIO通常负责将安全意识计划带入董事会，但要使其成功，组织内的所有人都必须支持该计划。