谈到网络安全, 不断地为员工提供最新的安全意识教育是你能做的最重要的事情之一. 人为错误被认为是网络入侵和数据泄露最常见的原因. 网络安全风险投资公司(Cybersecurity Ventures)预计,安全意识培训市场的规模将从2014年的10亿美元增长到今年的10亿美元 到2027年达到100亿美元.

而安全意识教育已成为维护合规的行业标准, 实现一个强大的目的, 彻底的安全意识程序不是简单地满足合规标准. 如果员工不了解他们在保护敏感数据和保护公司资源方面的角色和责任,世界上最好的安全系统仍然是脆弱的.

创建一个有效的安全意识培训项目需要什么?

以下是对项目关键要素的分解,可以回答以下三个问题:

    1. 谁应该参与?
    2. 应该包括什么??
    3. 如何创建一个不会被遗忘或忽略的程序?

The Who: 3个不同受众的安全意识培训

让我们面对现实吧:并不是所有人都像我们一样重视网络安全. 这使得人们很难参与到安全意识的话题中来. 最大限度地保留安全意识培训, 根据与员工最相关的内容将内容置于背景中是很有帮助的.

在为员工进行安全意识培训时,可以考虑以下三种不同的受众:

    1. 管理董事会和安全团队之间经常存在脱节. 为了打破这些竖井, 将你的信息安全培训与高层领导和董事会董事关心的更大的业务目标联系起来是很重要的. 考虑到这些听众, 以下是一些打破董事会和网络安全团队之间隔阂的技巧.
    2. 特殊的角色-无论你是医院还是零售商店, 您业务中的独特角色容易受到不同方式的攻击. 影响兑现和会计团队的威胁看起来与可能影响采购团队的威胁不同. 两个团队都应该知道如何防范影响其特定角色的威胁.
    3. 所有人员,在当今世界, 业务中的每个人都需要基本了解潜在攻击的可能性以及他们在其中的角色. 确保公司员工不太容易发生代价高昂的错误的最佳方法之一,是在全公司范围内开展信息安全培训活动,涵盖最重要的安全原则.

既然我们已经确定了谁应该参与, 作为安全意识培训计划的一部分,你应该传达什么信息?

内容:6个关键安全意识培训主题

An 有效的保安意识计划 必须有各种各样的交流方法,包括一系列的主题,教育用户关于在当今世界的网络罪犯所使用的一系列战术. 这些包括:

    1. 物理安全,保护包含敏感信息的建筑物周边和内部区域是重要的第一步.
    2. 密码安全,员工应该了解为什么被强制 密码 需求对于保护自身、用户和公司都很重要.
    3. 网络钓鱼和鱼叉网络钓鱼员工必须意识到 网络钓鱼 以及与最新的网络钓鱼方法相关的后果.
    4. 恶意软件,对于那些在信息安全领域工作的人来说,避免含有恶意软件的互联网内容似乎是一种直觉, 但是对于普通用户来说, 避免这些内容通常不是他们的首要考虑,当然也不是出于本能.
    5. 无线安全,鉴于无线设备和通信的增加, 员工应该意识到只使用安全的重要性, 通过无线网络.
    6. 安全的互联网浏览,能够访问互联网的员工应熟悉访问未知和/或未经批准的网站所带来的潜在危险. 他们还应该明白,如果一个站点被封锁,那么它很可能是有充分的理由被封锁的.

如果员工知道这些条款, 定义, 以及他们对企业可能产生的影响, 他们将在执行日常任务时更好地做出安全意识的决定.

如何:安全意识培训案例研究

这些想法如何对你的企业产生切实的影响? 以下是两家位于纳什维尔的公司,它们在安全意识培训方面表现出色:

    1. 安德森本森, 一家处理网络安全案件的保险和风险管理公司, 帮助客户了解最新的网络和数据泄露机制. 他们还进一步将他们的发现用于自己的内部受众,以保持信息灵通.
    2. 纳什维尔(纳什维尔)的帕特森知识产权法(Patterson Intellectual Law)在对员工进行安全意识教育方面也表现出色. 例如, 该公司最近制定了自己的网络安全管理政策,比如密码管理, 安全文档存储, 网络访问, 使用个人设备, 云服务供应商, 和更多的.

帮助员工提高安全意识的5个策略

安全失败的原因有很多,但最容易被忽视的原因之一是人. 最复杂的安全技术工具可以保护你免受大量恶意软件和病毒的侵害——但它不能总是保护你免受那些不遵守适当的“网络卫生”的用户的侵害——而且在不知不觉中,通过不良的网络安全实践将信息置于风险之中.

  • 你有没有把工作文件下载到家里的电脑里,这样你就可以继续工作了?
  • 您是否已将敏感资料电邮至您的个人帐户以备日后使用?
  • 你是否通过公共Wi-Fi网络(如星巴克)获取信息?
  • 你有没有把你的密码告诉你的同事“以防万一”?”
  • 您的密码是“密码”吗??

这一系列常见的安全“失败”发生得比您的主管们希望的要频繁得多. 老实说,他们可能是最大的罪犯之一?

许多员工, 没有很强的安全意识,或者没有必要的培训来练习保持数据安全所需的警惕. 一个很好的开始是教育员工如何帮助公司将数据被盗的风险降到最低. 让每个人都知道他们在组织的网络安全力量中扮演着积极的角色. 相当大比例的员工认为他们没有任何责任协助IT部门的系统和网络安全.

这里有一些实用的策略,可以帮助员工变得更了解安全:

1. 营造安全文化

考虑到我们在新闻上看到的高调入侵,这似乎是显而易见的, 但没有足够多的组织把网络安全放在首位. 他们也不为员工提供详细的安全教育和培训. 频率也很重要. 一年一次的培训是不够的. 关注培训的定期提醒和更新. 不要忘记培训高级员工,包括公司高管. 确保员工的入职培训包括足够的安全培训, 从密码强度的最佳实践到确保物理办公室空间的安全.

2. 使用真实的例子进行教育

这里的信息是关键,因为员工会对真实世界的例子做出反应. 一定要分享公开的数据泄露细节, 以及最初的入口点是如何通过人员失误获得的, 人为错误或安全措施松懈. 让他们看看看似无害的行为是如何导致违规的 量化这对组织的伤害.

3. 让员工更容易提供帮助

现在每个人都知道尼日利亚王子的一封邮件请求应该被删除, 但员工需要了解公司面临的不同类型的攻击和漏洞,使他们能够更容易地识别威胁. 创建文档和培训工具供员工参考. 制定一个报告和升级程序,以便员工在怀疑网络入侵时如何应对.

4. 支持

网络安全知识并不容易或普遍理解. 您组织中的许多人从未考虑过网络威胁. 没关系. 为他们提供一个开放的提问环境,这样他们就不会因为知道的少而受到指责.

5. 获得管理层的支持

有时,高层领导没有优先考虑安全问题,因为他们没有将安全问题的点滴与更大的业务分支联系起来. 而针对塔吉特(Target)和索尼(Sony)的高调入侵引起了董事会和高管的注意, 许多安全团队仍然需要争取额外的预算和提高数字防御所需的优先级.

安全专业人员如何克服这一制度上的挑战? 考虑如何将安全目标与更大的业务成果和目标联系起来. 高管们从风险和回报的角度思考——解释公司的网络安全实践如何使公司面临更大的问题——以及它将如何影响业务.

保持你所提出的威胁与公司的整体风险状况成比例,以保持你的信誉. 不要夸大风险或猜测可能的问题——让你与领导讨论的挑战有基础且相关. 当您需要报告紧急的威胁时,这将是有效的.

网络安全似乎是一个技术问题. 在很多方面确实如此, 但值得记住的是,安全有很多方面, 不仅仅是防火墙和加密. 花时间加强人与人之间的联系和网络安全是所有公司都应该做的一项投资,以确保每个人都在尽自己的一份力来帮助保持网络安全.

看看明升体育app下载免费指南, 违反:网络安全预防、检测和响应最佳实践,以了解更多有关为贵公司确保最安全的网络安全的资料.

你准备好加强你的安全意识培训计划了吗?

无论你是想加强你的整个网络安全计划还是更新你的意识培训, 明升体育app下载团队在LBMC信息安全可以帮助. 欢迎查看明升体育app下载资源和播客库, 哪些提供了具体的见解,你可以用来提高网络安全的每个领域. Or, 明升体育app下载的团队 了解更多明升体育app下载如何帮助开发安全项目计划或培训框架的信息.

友情链接: 1 2 3 4 5 6 7 8 9 10