剖析安全培训项目走向失败的6大关键原因

小二郎 行业 2018年8月25日发布

导语:事实上,网络安全事故是一个渐变的过程,是不安全因素在量的积累达到一定程度后,出现的飞跃性质变的表现形式,采取切实有效措施防止量的积累,是不可缺少的重要手段。俗话说:“凡事预则立,不预则废”,维护网络安全环境需要多方面的付出

Slide1CoverArt.jpg

事实上,网络安全事故是一个渐变的过程,是不安全因素在量的积累达到一定程度后,出现的飞跃性质变的表现形式,采取切实有效措施防止量的积累,是不可缺少的重要手段。俗话说:“凡事预则立,不预则废”,维护网络安全环境需要多方面的付出和努力,而这其中,“以人为本”,提高人的安全意识以增强职工岗位安全自觉性是关键。

安全意识和素质的提高,安全培训教育是最有效的途径。通过“鲜活”的安全培训教育,可以切实提高员工安全意识和素质,不断强化员工安全事故的防范意识,真正将“安全第一,预防为主”落实到位,有效控制和减少安全事故,确保企业网络安全。

如今,已经有越来越多的企业开始对员工或用户进行安全意识培训,从而降低终端雇员的错误率。加速这种趋势的原因在于,越来越多的企业已经意识到,雇员的错误可能导致数据泄露,最终面临高昂的经济代价。

据安全专家和分析师称,安全意识培训将会越来越普遍,因为失败的审计、数据漏洞以及其他会知识产权和敏感数据造成威胁的因素,令企业不得不加强员工的安全意识。毕竟,我们不可能依靠技术解决所有安全问题,主动进行安全教育,可以使员工意识到自己在保护公司安全的过程中扮演着极其重要的角色。

数据有话说

就网络安全意识培训项目而言,好消息是:据Wombat Security报告称,他们调查的95%的公司现在都在培训终端用户如何识别和避免网络钓鱼攻击,而2014年,这一数据为86%。

更为利好的消息是:培训不仅局限于表面,也产生了非常显著的效果。根据Wombat最新发布的《2018年网络钓鱼状况》报告称,大约54%的安全专业人员表示,他们已经通过培训活动实现了网络钓鱼易感性的指数级下降趋势。

Wombat Security品牌传播经理Gretel Egan表示,

“过去一年,公司员工对于安全培训的兴趣明显增加。其实几年前,公司许多人对安全意识培训的想法嗤之以鼻,但是现在,他们已经意识到这种培训活动可以让他们自身及所属公司都收益匪浅。”

然而,想要最大化地实现安全培训的作用,并不是一件简单的事,不是随便找个人随便讲几堂课就能完成的,还需要做什么工作。这也就意味着,我们要先去了解企业在安全意识培训过程中存在的错误,以及如何纠正它。

企业安全意识培训项目存在的6大误区

1. 安全专业人员习惯向高层管理者传递太多技术信息

Wombat Security的Egan表示,在向高层管理者汇报项目进程或成果时,安全专业人员经常会陷入这样一种误区——即过分关注计划细节,而忽略了全局。例如,他们会告诉CEO,仍然能够看到员工对网络钓鱼诱饵的点击率为15%。但是他们忘了,首先,无论他们怎么努力,都永远无法将这一数字归零;此次,也是更重要的一点,这些数字对CEO而言并不具备直观意义。你最好告诉他们,通过安全意识项目,可以帮助企业节省停机时间并降低安全补救成本,这才是高层管理者们真正想要了解的底线影响。

2. 公司没有花费足够的时间培训高管了解资产风险

根据CrowdStrike服务副总裁Tom Etheridge的说法,公司倾向于将安全意识培训作为核对表项目——列出培训选项,完成即勾掉,勾完全部选项即算项目完成。但他们忽略了最关键的一点,企业高管们——从执行委员会、高级管理者到财务团队和采购部门,都需要对所属公司面临的网络威胁状况有个更深入、全面的了解。因为这些人才是网络犯罪分子青睐的高价值目标,他们都有信托责任,而且他们大多数人也可以访问个人计算机或公司笔记本电脑上的特权信息。安全专业人员需要与他们协同合作,以便他们可以学习如何使用双因素身份验证和加密等工具来保护企业数据安全,以及了解在出差时保护自身物理资产安全所需采取的适当步骤等。

3. 只专注于获取特定人员的支持,而忽略了企业中其他管理层同行

安全专业人员通常只将目光锁定在为他们的安全意识项目提供资金支持的特定人员身上,结果,他们经常会忽略与企业中其他管理层同行的沟通交流。事实上,通过从其他管理者处入手,安全专业人员一样能够说服他们并最终获取对安全意识培训项目的支持。至于普通员工,通常只要他们的主管希望他们参与进来就足够了。

4. 公司没有招募自然领袖(Natural Leaders)

Wombat Security的Egan表示,许多公司都没有考虑为其安全意识项目创建一个特别工作组。安全专业人员应该寻找“自然领袖”——他们可以是也可以不是技术人员,但一定要是在公司会议上具有绝对发言权的人。让这类人担任安全意识培训项目的倡导者,由他们去说服其他人,将对安全意识项目的持续开展起到至关重要的作用。

5. 公司没有言明安全意识项目对个人的好处

当然,安全意识项目可以使公司更安全,但是对于安全专业人员和人力资源部门来说,似乎并没有其他更深刻的好处。如果你这样认为就打错特错了。试想一下,你每天都要与不了解计算机的年迈父母打交道,现在,通过企业安全意识培训项目,你就有能力向父母传授一些学到的基础知识和应用技巧了。事实上,安全意识已经不仅仅是一个商业问题,它还是一个现代生活技能问题。此外,对于人力资源部门而言,在招聘新员工时需要他们组织培训项目,这种经历和经验是他们在整个职业生涯中都可以随取随用的技术诀窍。

6. 公司没有合适的计划来对培训效果进行彻底测试

在培训项目完成后,许多公司只会发送一些网络钓鱼测试,查看员工的反应。但是在进行任何测试之前,重要的是要制定适当的计划,确定具体的攻击类型,考察内容,如何对员工进行分组以及衡量项目成败的具体指标等等。

CrowdStrike的Etheridge表示,他的团队经常配合许多其他公司进行测试,他们会选择在特定时间尝试网络钓鱼,以了解客户的表现。他说,广泛的网络钓鱼可能有助于合规目的或评估员工对该攻击手段的一般意识,但它并不总是能够测试出组织的真正防御能力。他建议公司可以进行更为积极主动的红/蓝对抗测试,并基于最终结果向高管们解释他们如何更有效地应对了面临的安全问题。

如若转载,请注明原文地址: http://www.4hou.com/info/industry/13254.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论