防止人为安全错误的行之有效的方法

最新的 Verizon数据泄露调查报告显示，人为因素仍然是 82% 数据泄露的关键驱动因素，包括社交攻击、错误和滥用。毫无疑问，人为错误会带来巨大的安全问题。与此同时，网络泄露的发生率和成本持续攀升。那么为什么超过一半的就业人员没有或没有接受过安全意识培训呢？

也许安全团队不相信安全培训。或者也许他们并不确切知道什么样的培训有效。是否有任何数据支持最佳实践？让我们来看看吧。

员工高风险责任

一般公司的员工都有能力访问大量的信息库。每个工作人员平均可处理 1080 万份文件。大型组织的员工可以访问多达 2000 万个文件。

最近的一项研究发现，64% 的金融服务组织允许其员工不受任何限制地查看 1,000 多个敏感文件。由于许多公司已转向远程或混合工作，IT 团队必须优先考虑其安全措施，以确保其敏感数据免受攻击。公司还必须考虑遵守 SOX、GDPR 和 PCI 等法规，这些法规可能会让公司面临严重的法律后果。

如果我们看看密码实践，Cybsafe的一项研究发现，29% 的参与者创建的密码由单个字典单词或名称组成。只有 16% 的参与者表示创建的密码长度超过 12 个字符，这对密码安全大有帮助。

大约 36% 的参与者表示，只有一半或更少的时间使用唯一密码，而另外 36% 的参与者每隔几个月就会更改一次密码。令人惊讶的是，35% 的参与者承认仅对密码进行了轻微修改，例如更改一两个字符。

仅出于这些原因，网络卫生就很有意义。但它能有效防止攻击吗？

安全意识真的有用吗？

每个谈论人为错误的人最终都会提到员工培训。但这真的会改变员工的在线活动吗？更重要的是，培训是否可以降低安全漏洞的风险和成本？Cybsafe 报告支持员工习惯在安全培训后确实发生了变化。

首先，57% 接受过网络安全培训的个人是通过工作场所或教育机构访问的。只有 28% 的人从家庭环境访问它。在接受培训的人中，59% 完成了一次性课程，24% 的人在规定的时间内接受了持续培训。不幸的是，48% 的受访就业人员无法获得网络安全建议或培训，9% 的人可以访问但不使用。

研究显示，58% 接受网络安全培训的参与者表示，他们识别网络钓鱼消息的能力有所提高。此外，45% 的接受过培训的人表示他们已经开始使用强而独特的密码。以下是人们在培训后自我报告实施的一些其他安全实践：

• 使用多重身份验证：40%

• 使用密码管理器：35%

• 定期安装更新：40%

• 备份数据：34%。

建了一个属于网络安全从业人士交流群，加微信进群

公司名称+姓名

持续培训很重要

如前所述，Cybsafe 报告中超过四分之三的受访者没有接受持续培训。这可能是一个巨大的错误。

USENIX SOUPS上发表的一篇论文评估了网络钓鱼培训的持久影响。在这项研究中，研究人员定期进行定期测试，看看员工何时会失去识别网络钓鱼消息的能力。他们将员工分为几组，并在接受面对面的网络钓鱼培训课程后的4、6、8、10 和 12 个月后进行测试。

研究小组发现，参与者在初次培训后四个月就能够准确地发现网络钓鱼电子邮件。然而，这种能力在六个月或更长时间后就会减弱。该团队建议开展新的培训课程，以保持员工识别网络钓鱼威胁的熟练程度。

标准下载：2023年24个即将实施标准下载 标准下载：大数据 系统运维和管理功能要求GB/T 38633-2020 标准下载：个人信息去标识化效果评估指南GB/T 42460-2023 标准下载：2020版金融行业网络安全等级保护实施指引（第1-6部分） 标准下载：网络安全从业人员能力基本要求GB/T 42446-2023 标准下载：工业控制系统信息安全防护能力成熟度模型GB/T 41400-2022 标准下载：交通运输行业网络安全等级保护基本要求 JT/T 1417-2022 标准下载：大数据系统基本要求GB/T 38673-2020 标准下载：网络安全事件分类分级指南 GB/T 20986-2023 标准下载：云计算服务安全能力要求GB/T 31168-2023 标准下载：信息安全风险管理实施指南GB/T 24364-2023 标准下载：电子政务移动办公系统安全技术规范 GB/T 35282-2023 标准下载：网络安全审计产品技术规范GB/T 20945-2023 标准下载：边缘计算安全技术要求GB/T 42564-2023 标准下载：区块链技术安全框架GB/T 42570-2023 标准下载：GB/T 42571-2023 区块链信息服务安全规范

哪种类型的网络意识培训最有效？

虽然培训很重要，但什么技术最有效？有这方面的数据吗？

在 USENIX SOUPS 论文中，研究人员研究了分布在四个不同组中的四种不同的提醒措施：短信、视频、交互式示例和简短文本。教程结束一年后，研究人员比较了四个提醒组的知识保留情况。结果表明，视频和互动措施最为有效。它们的影响在实施后至少持续六个月。

其他研究由网络专家Nipon Nachin为信息系统审计与控制协会 (ISACA) 撰写。他总结说，为了提高网络安全意识，组织采用了许多技术，例如安全海报、内联网内容、屏保信息、现场培训、视频、模拟和测试。一项研究发现，使用内联网作为安全意识平台是列出的最有效的方法。员工必须理解组织的安全策略，以最大限度地发挥安全意识工作的影响。

建立安全意识的一种非常有效的方法是发送模拟恶意软件电子邮件来测试用户的知识。另一种新颖的方法是使用游戏来教育员工，尽管这种方法似乎不如使用视频那么有影响力。

技术和人文因素缺一不可

组织仍然非常容易受到人为错误造成的破坏。虽然技术工具对于阻止攻击是不可或缺的，但人们想知道还应该做多少工作来支持网络卫生。如果超过一半的员工没有接受或没有使用安全培训，那么显然差距很大。

成本效益如何？员工网络安全培训的成本根据组织的规模以及培训的类型和频率（面对面与远程）而有所不同。平均而言，每个用户每月的培训费用约为 5 美元。而且每个月投入的时间只需要几分钟。就网络安全支出而言，这是非常便宜的。关键是坚持和重复。

一些估计显示，公司每年平均为每位员工在安全方面花费2,700 美元。如果再加 60 美元，他们可能会在很大程度上填补人为错误的空白。

网络安全等级保护：从第三级防雷击测评项引发的一点点思考

思维导图下载：GB-T 39276-2020 网络产品和服务安全通用要求

网络安全等级保护：第三级与第四级安全物理环境差异化要求

网络安全等级保护：第三级与第四级安全管理制度要求异同点

网络安全等级保护：移动互联安全扩展测评PPT

300多页网络安全知识小册子2023版下载

网络安全等级保护：网络安全等级保护安全设计技术要求PPT

全国网络安全等级测评与检测评估机构目录

分析显示：98% 的公司的供应链关系已被破

2023年五个关键网络安全趋势

15个网络安全等级保护和等级测评PPT课件打包下载

思维导图：互联网上网服务营业场所管理条例（2022版）

网络物理系统安全之CPS的特点

2023年2月份-恶意软件月刊

数字化转型之后会发生什么？

初学者的网络安全未来主义

数据库的类型及其用途

原文始发于微信公众号（河南等级保护测评）：防止人为安全错误的行之有效的方法