说到网络安全, 不断向员工提供最新的安全意识教育是你能做的最重要的事情之一. 人为错误被认为是网络入侵和数据泄露的最常见原因. 网络安全风险投资公司(网络安全 Ventures)预测,安全意识培训市场将从2014年的10亿美元增长到2015年的10亿美元 到2027年将达到100亿美元.

而安全意识教育已经成为维护合规性的行业标准, 目的实现强, 彻底的安全意识计划不是简单地满足遵从性标准. 如果员工不了解他们在保护敏感数据和保护公司资源方面的角色和责任,那么世界上最好的安全系统仍然是脆弱的.

创建一个有效的安全意识培训计划需要什么?

以下是一个程序的关键要素,可以回答这三个问题:

    1. 谁应该参与其中?
    2. 保险范围是什么??
    3. 如何创建一个不会被遗忘或忽略的程序?

谁:安全意识培训的三种不同受众

让我们面对现实吧:并不是每个人都像我们一样重视网络安全. 这可能会使人们很难围绕安全意识的话题进行交流. 最大限度地保留安全意识培训, 根据与你的员工最相关的内容来构建内容是很有帮助的.

在为员工进行安全意识培训时,可以考虑以下三种不同的受众:

    1. 管理-董事会和安全团队之间经常存在脱节. 为了打破这些藩篱, 将您的信息安全培训与高层领导和董事会董事关心的更大的业务目标联系起来是很重要的. 当你想到这些听众, 以下是一些打破董事会和网络安全团队之间孤岛的建议.
    2. 特殊的角色-无论你是医院还是零售店, 企业中的独特角色容易受到不同方式的攻击. 影响现金和会计团队的威胁与可能影响采购团队的威胁看起来不同. 两个团队都应该知道如何防范影响其特定角色的威胁.
    3. 所有人员,在当今世界, 企业中的每个人都需要对潜在攻击的可能性以及他们在其中的角色有一个基本的了解. 确保公司员工不容易受到代价高昂的错误的影响的最好方法之一是制定全公司范围的信息安全培训计划,涵盖最重要的安全原则.

既然我们已经确定了谁应该参与其中, 作为安全意识培训计划的一部分,你应该传达什么?

内容:6个关键安全意识培训主题

An 有效的安全意识计划 必须有各种各样的沟通方法,包括一系列的主题,教育用户关于当今世界网络犯罪分子所使用的一系列策略. 这些包括:

    1. 物理安全,确保建筑周边和包含敏感信息的内部区域的安全是重要的第一步.
    2. 密码安全,员工应该理解为什么要强制执行 密码 需求对于保护自己、用户和公司都很重要.
    3. 网络钓鱼和鱼叉式网络钓鱼员工必须意识到 网络钓鱼 以及与最新网络钓鱼方法相关的后果.
    4. 恶意软件,对于信息安全领域的人来说,避免充斥恶意软件的互联网内容似乎是一种直觉, 但是对于日常用户来说, 避免这些内容通常不是他们的首要考虑,当然也不是本能.
    5. 无线安全,鉴于无线设备和通信的增加, 应该让员工意识到只使用安全的重要性, 认可的无线网络.
    6. 〇安全上网可以访问互联网的员工应该熟悉访问未知和/或未经批准的网站的潜在危险. 他们也应该明白,如果一个网站被屏蔽,它很可能是有很好的理由被屏蔽的.

如果员工知道这些条款, 定义, 以及它们对企业的影响, 在执行日常任务时,他们将能更好地做出安全决策.

如何:安全意识培训案例研究

这些想法如何为你的业务带来切实的改变? 以下是两家总部位于纳什维尔的公司,它们在安全意识培训方面表现出色:

    1. 安德森本森, 一家处理网络安全案件的保险和风险管理公司, 帮助客户了解最新的网络和数据泄露机制. 他们还更进一步,将他们的发现重新用于内部受众,以保持信息灵通.
    2. 在教育员工安全意识方面,纳什维尔的帕特森知识法律公司也表现出色. 例如, 该公司最近制定了自己的政策来管理密码管理等网络安全实践, 安全文档存储, 网络访问, 个人设备的使用, 云服务供应商, 和更多的.

帮助员工提高安全意识的5个策略

安全失败的原因有很多,但最容易被忽视的一个原因是人. 最复杂的安全技术工具可以保护你免受许多恶意软件和病毒的侵害,但它不能总是保护你免受那些没有实践适当的“网络卫生”的用户的侵害,这些用户会在不知情的情况下通过糟糕的网络安全实践将信息置于危险之中.

  • 您是否将工作文件下载到不安全的家用计算机以便继续工作?
  • 您是否将敏感信息通过电子邮件发送到您的个人帐户以供以后使用?
  • 你是否通过星巴克这样的公共Wi-Fi网络访问过信息?
  • 以防万一,你有没有把你的密码告诉你的同事?”
  • 你的密码是“密码”吗??

这个常见安全“失败”的短名单发生的频率远远超过了您的高管所希望的. 老实说,他们可能是最大的罪犯,对吧?

许多员工, 没有强烈的安全意识或必要的培训来保持数据安全所需的警惕性. 一个好的起点是教育员工如何帮助公司降低数据被盗的风险. 让每个人都知道他们在组织的网络安全力量中发挥着积极的作用. 相当大比例的员工认为他们没有任何责任协助IT部门进行系统和网络安全.

以下是一些实用的策略,可以帮助员工提高安全意识:

1. 创建安全文化

鉴于我们在新闻中看到的备受瞩目的入侵事件,这似乎是显而易见的, 但没有足够多的组织将网络安全作为优先事项. 他们也不为员工提供详细的安全教育和培训. 频率也很重要. 一年一次的培训是不够的. 关注培训的定期提醒和更新. 不要忘记培训高级员工,包括高管. 确保员工入职包括充分的安全培训, 从密码强度的最佳实践到保护物理办公空间.

2. 用真实的例子进行教育

这里的信息是关键,因为员工会对现实世界的例子做出反应. 一定要分享公开的数据泄露的细节, 以及如何通过人员失误获得最初的切入点, 人为错误或安全措施松懈. 向他们展示看似无害的行为如何导致违规和 量化这对组织的伤害.

3. 让员工很容易提供帮助

现在每个人都知道,一封来自尼日利亚王子的电子邮件应该被删除, 但员工需要了解公司面临的不同类型的攻击和漏洞,以便更容易地识别威胁. 创建文档和培训辅助工具供员工参考. 制定一个报告和升级流程,告知员工在怀疑网络入侵时应该如何应对.

4. 支持

网络安全知识并不容易或普遍理解. 组织中的许多人从未考虑过网络威胁. 没关系. 为他们提供一个开放的提问环境,这样他们就不会因为知道的少而感到被评判.

5. 确保高管的支持

有时候,高层领导没有优先考虑安全问题,因为他们没有把安全失败带来的更大的业务后果联系起来. 塔吉特(Target)和索尼(Sony)备受瞩目的数据泄露事件引起了董事会和高管的注意, 许多安全团队仍然需要争取额外的预算和提高数字防御所需的优先级.

安全专业人员如何克服这一制度性挑战? 考虑将安全目标与更大的业务结果和目标联系起来的方法. 高管们从风险和回报的角度思考问题——解释公司的网络安全实践如何使公司面临更大的问题——以及它将如何影响业务.

通过使你提出的威胁与公司的整体风险状况成比例来保持你的可信度. 不要夸大风险或猜测可能出现的问题——让你与领导讨论的挑战有根据且相关. 当您需要报告紧急威胁时,这将得到回报.

网络安全似乎是一个技术问题. 在很多方面都是如此, 但值得记住的是,安全有很多方面, 这不仅仅是关于防火墙和加密. 花时间加强人与网络安全之间的联系是所有公司都应该做的一项投资,以确保每个人都在尽自己的一份力量来帮助保持网络安全.

看看明升体育app下载免费指南, 违反:网络安全预防、检测和响应的最佳实践,以获取有关确保公司网络安全的更多信息.

你准备好加强你的安全意识培训计划了吗?

无论你是想加强你的整个网络安全计划还是更新你的意识培训, 我们LBMC网络安全团队可以提供帮助. 请随时查看明升体育app下载资源和播客库, 哪些提供了您可以用来增强网络安全各个领域的具体见解. Or, 与明升体育app下载团队建立联系 了解更多有关我们如何帮助制定安全计划计划或培训框架的信息.

友情链接: 1 2 3 4 5 6 7 8 9 10