在当今的数字时代,无论受众的安全水平如何,无论是在基于产品的公司、技术解决方案提供商或服务提供商工作(乙方),还是在机关单位或公司企业里工作(甲方),归根结底,人员的问题终究还是人员的问题。技术可以发挥作用,但并非一切都能依赖于技术,从坏人的角度来看,使用该技术的人员是主要目标。通过寻找人类性格、情绪、繁忙的日程等等,不法分子可以找到一些最需要利用的因素——人性的弱点。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:组织机构中的每位人员都是网络不法分子攻击或利用的目标,所有员工都面临风险,人工智能等技术可以有所帮助,但是人性的弱点最终还是要靠人类自身来解决。当前,网络安全意识已成为确保工作场所安全不可或缺的一部分,这意味着我们应该认真对待并致力于做好安全培训工作。当我们这样做时,也是在为组织提供蓬勃发展和成倍增长的机会。
那么,如何在员工中传播安全意识呢?
首先,需要在员工入职期间引入网络安全。员工入职培训往往是介绍、教导和开始灌输公司价值观、政策和文化的机会,是能给员工留下最深刻印象的关键时刻。网络安全需要作为此入职培训过程的一部分,这样做会给员工留下深刻印象,即网络安全是公司的优先事项,与在入职培训中包含的其他核心业务流程同等重要。网络安全入职培训计划需要全面完整,并且应该介绍和解释网络安全政策中的所有内容。需要浅显易懂,不用太深刻。尽管政策中的某些事情看起来显而易见的,但是一点职场经验都没有的新员工们可能并不这么认为,因此非常有必要对其进行耐心地解释。入职网络安全培训的模式可以使用课堂讲解及互动,这样的沟通效果最佳。
其次,应该至少每年进行一次年度的安全意识刷新,人们每天忙于工作,如果没有得到及时的安全提醒,容易遗忘组织对他们的安全期待。即使在某些方面的网络安全要求会时时影响到员工,但是其他更多方面的要求可能并不被日常关注。安全意识刷新活动就如同持续教育一样,通过终身学习计划,给员工们一种不断充电,保持更新的职场状态。因为安全威胁在不断演变,安全环境和政策也可能每年更新,年度安全刷新应该特别强调这些变化。年度安全意识刷新活动应该选择在业务的淡季,使用eLearning方式最佳,学员可以随时随地参加学习,自主安排优先级完成任务,不耽误日常工作。
最后,最好使用一些安全意识辅助手段,以确保安全政策的落地执行,学以致用才是关键,让员工们学习网络安全是为了让安全方针政策和制度要求能够得到贯彻实施,要让安全意识能够在日常的安全行为中得以体现,进而养成好的安全习惯。通过策划和实施一些定期的意识宣传活动,以及测试审核活动,可以帮助确保安全意识认知指导并转换成人们的日常行为规范和实践。定期的宣传教育活动可以灵活多样,比如使用壁纸、海报、期刊、手册等平面设计物,使用动画、视频、短片、游戏等电子媒体,也可以使用安全巡检、清桌检查、模拟审计等安全行为检查活动,以及测试竞赛、模拟钓鱼、红黑对战等赛事活动。
在内容知识方面,网络安全意识培训计划应包括网络安全政策的要素,例如个人设备法规、电子邮件和计算机密码策略以及可接受的网络访问政策等等。在安全实践方面,要告诉员工们如何遵守政策和正确使用计算资源以确保合规性(包括IT帮助台、人力资源联络、如何访问公司政策等)。如果很容易得到这些可自主查询或问询的信息渠道,有安全相关疑问或顾虑时,员工们知道如何找到相关的信息,这一点非常重要。还有要鼓励员工们通过何种渠道报告安全事件,即使那些事件是由他们自己的错误引起的。建议对自我报告违规行为的员工采取(有限的)特赦政策。了解安全漏洞(薄弱)比斥责不合规的员工要重要得多。
作为其更广泛的安全意识战略的一部分,网络安全团队可以使用网络钓鱼模拟程序,让所有员工暴露在正在进行的模拟网络钓鱼活动中。最好基于最近截获的真实案例,创建逼真的模拟邮件来进行培训练习,以跟上网络犯罪分子不断发展的策略(伎俩)。点击可疑电子邮件的收件人占比(失败率)还可提供组织所面临的风险级别和安全培训需求的宝贵输入。
兵法云:“知己知彼,百战不殆。”了解不法分子使用的手段很重要,通常来讲,在不法分子确定了攻击目标之后,他们会通过社交媒体,如官方网站、招聘、电商平台、微博、公众号、微信、领英、小红书、Facebook、Instagram、Twitter等所有他们可能达到的地方,对他们的目标进行广泛的背景研究,以便了解人们的习惯、喜好,如他们在什么餐馆吃饭 甚至是他们搞过什么团体活动等等。然后,网络罪犯可能会使用这些信息来策划一场令人信服的社会工程活动,例如,一封看似来自CEO最喜欢的西餐厅的诱人促销邮件或一条假冒CEO或新同事的好友添加。只需一次快速的点击,最终用户就可能为灾难性的数据泄露打开大门。
俗话讲“一回生,二回熟,三回一齐局;昨日客,今日友,明日共同宰。”商场中有太多老板做生意都希望有回头客,却经常被熟客骗。网络犯罪分子使用各种社会工程方式(诈骗伎俩)来建立信任,这类基于人性弱点(相信熟人)的骗局非常具有迷惑性,也很有效,通过媒体的披露,我们可以知道商业诈骗时刻都在发生着。这类诈骗很难使用技术型的管控措施来预防,只能从心理方面进行应对,在安全意识课程中,需要不断强调业务交易风险,强调合规运营的重要性。
一项针对中小型的网络安全调查表明:参与者中有33%表示他们从未在工作中接受过网络安全培训或教育。这个问题可以说非常严重,通常在经历了惨痛的安全事件后,管理层才会意识到,需要进行全员安全意识培训。然而,无论是小型企业的首席执行官、IT经理、培训专员,还是负责安全的办公室经理,发动上述的几种安全意识培训,搞起来没什么大问题,可是要搞好搞出成效,能从中受益,并不是一件容易的事情,因为好的培训需要有专业的意识内容或/和讲师资源。
话说回来,社会分工越来越细,专注于核心并实现量产(规模化)是关键的生存和成功要素。那么,如同安全意识教育一样,很多工作并不需要自己动手,在战略选择方面,可以考虑采取外包或对外采购的方式。昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容,包括动画视频、平面图片和电子课件资源,涵盖各种主题,包括场所安全、信息分级与保护、网络钓鱼及诈骗防范、密码最佳实践、双因素身份验证、社会工程学、远程工作和物联网安全等等。在形式方面,我们将与您和贵司合作,创建一个量身定制的安全、保密与合规培训计划,不仅满足贵司的安全意识目标,还可以通过让员工们参与在线电子学习培训,节省预算和时间。我们的在线培训课程模块以用户友好的科普语言呈现,课程长短可在45分钟、60分钟、90分钟、或120分钟。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验在线学习平台以及洽谈采购合作。
