这可能是一次网络钓鱼攻击——一封来自公司领导或知名公司的看似无辜的电子邮件,但却是由恶意威胁行为者生成的。
它可能是勒索软件或恶意软件——通过员工无意点击的受感染下载而迅速在您的系统中传播的恶意软件。
也许是密码强度弱、员工不满等内部威胁、数据不安全或凭证被盗。
无论根本原因是什么,网络攻击都会给所有行业和地区的各种规模的公司带来重大风险。2023 年,网络犯罪的成本上升至惊人的 8 万亿美元,预计到 2025 年将上升至 10.5 万亿美元。
打击网络犯罪的常用方法
这些风险及其相关成本不会发生,因为公司对保护自己及其客户的数据感到自满。不,他们多年来一直在努力。但攻击仍然不断发生。
组织为打击网络攻击所做的许多工作都是有意义的,而且确实已经到位,即使只是名义上的。例如:
-
建立一支拥有适当技能的内部网络安全团队来应对网络威胁。美国国家标准与技术研究院 NICE 网络安全劳动力框架可以是一个很好的起点。
-
识别可能涉及广泛能力和流程的内部漏洞,包括培训不足、行业标准和法规使用不足、沟通不畅以及安全控制和程序使用不足。
-
提供培训,确保员工了解网络安全风险并了解他们在帮助识别、阻止和报告这些风险方面的作用。
这是极好的初始步骤,也是形成网络安全态势的基础。不幸的是,这些努力往往因各种原因而失败——通常是由于对安全培训的“一劳永逸”态度,以及缺乏根深蒂固的组织安全文化。
深入研究如何建立有效的训练方案
首先,文化为王。如果没有健康的安全文化,公司可能会年复一年地努力解决和克服网络和软件漏洞造成的风险和损害。这需要创建一个以网络安全为优先的环境,让员工有权就安全问题做出明智和主动的决策。
在帮助建立安全文化并通过持续努力将安全责任放在首位来共同维持这种文化方面,每个部门都发挥着重要作用。这意味着要制定一项计划,确保您的网络安全培训工作能够推动积极的变革。
以下是你需要考虑纳入训练方案的七件事:
1. 真实场景和案例研究。假设的影响力远不及实际发生的网络攻击案例以及如何预防。如果这些案例来自您自己的组织,效果会更好。当员工(尤其是领导者)愿意分享这些经验时,它可以产生持久的影响。
2. 游戏化和竞争。培训不一定非要采用“舞台上的圣人”形式。人们喜欢玩游戏。包括竞争、挑战、排行榜和奖励可以提高培训课程的参与度。
3. 桌面练习和模拟。这是一种让员工参与学习的好方法,让他们有机会单独或以团队形式应对各种类型的网络安全挑战。
4. 带有个性化反馈的网络钓鱼模拟。我们通过自己的经验学习效果最好。网络钓鱼和其他模拟的社会工程模拟可以在安全的环境中提供反馈结果,识别出那些最容易受到在线社会工程诈骗影响的个人,他们可能需要通过亲身实践的指导给予特别关注,以使学习持久。
5. 针对技术员工和非技术员工进行有针对性的培训。培训 IT 部门所需的信息与销售团队所需的信息大不相同,而且这些差异可能影响整个组织。定制培训以满足用户的特定需求将有助于吸引他们的注意力并产生影响。
6. 网络安全意识活动。争取营销部门的支持和合作,每季度举办一次网络安全培训课程,以保持信息新鲜。活动可以包括海报、视频、网络研讨会和其他学习渠道,让每个人都了解情况。
7. 持续监控和评估。哪些措施有效?哪些措施无效?您从员工那里收到了哪些有关培训和沟通工作的反馈?他们喜欢什么和讨厌什么?他们有哪些改进建议?持续的监控、评估、用户反馈和意见将使员工保持参与,并让他们清楚地知道您关心他们的需求和偏好。
培训和沟通是几乎所有网络安全培训工作的基础要素。不过,并非所有培训对所有参与者都同样有效。通过整合上述更有针对性的策略,可以为您的员工提供更有效的培训方案。
原文始发于微信公众号(河南等级保护测评):建立有效网络安全培训方案的7个步骤
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论