前言
无论是SDL还是devsecops中,安全培训都是必不可少的一环。我们制定了很多的安全规范,建设了很多的安全系统,可是往往由于内部人员的疏忽导致了安全事件的发生。
技防”永远无法完全取代“人防”的作用,往往花费大量经费建设了很多系统,很大程度上抵挡了从企业外部发起的安全攻击,但对于因内部人员安全意识薄弱而导致的有意或无意的信息泄密,却很难完全避免,所以需要在严格的管理流程、严密的技术控制基础上,形成体系化的安全培训机制,提升内部人员的安全意识水平,才能达到综合化、一体化的防范效果。
本章就来看看在企业内容如何进行安全培训
信息安全培训的痛点
目前大部分的企业中都面临着一些共同的痛点,主要有下面的几点:
1)未建立系统化的培训体系
大部分企业的信息安全培训都是零散的,随需而做的,尚未形成整体的、有机的、立体的信息安全培训规划
2)培训内容脱离实际,针对性不足
培训内容看着高大上,其实都是为了炫技,不贴合员工的实际。而且对于任何员工都是一套培训方式,没有针对性的培训。
3)培训形式单一,内容枯燥,素材匮乏,资源不足
大部分企业采用单一的课堂教学方式培训,缺乏日常碎片式、体验式的素材。枯燥的培训方式自然效果不佳,因此需要创新培训形式,激发员工的兴趣和自主性,促进员工利用碎片化时间主动学习。
4)培训参与度不高
企业员工大部分都非常忙碌,不愿花费时间去参与培训,能逃则逃。
5)未建立培训效果的考核机制
对于培训内容是否得到执行,安全意识是否有提升,是否作用到员工的日常工作中,都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来促进培训内容的落地执行。
培训主要组成部分
先来看看企业内部的培训都有哪些部分组成。
培训的主要组成部分有下面的几点:培训对象,培训人员,培训方式,培训目标,培训内容,培训时机
培训对象
针对不同的培训对象,培训的侧重点应该也有所不同。企业高管,中层管理者,业务部门工作人员,技术人员,关键岗位等不同工作岗位的人员,由于工作职责、岗位能力要求有差异,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。
企业高管
企业高管往往是企业内做培训时最容易忽略的部分,因为高管一般比较繁忙,而且安全部门的话语权不高的话,也不能强制高管参加培训。但是对企业高管宣导安全意识还是非常有必要的,主要是因为高管接触的信息面光,层次高,敏感信息多;还有就是高管接受安全意识培训可以带动全员重视信息安全;同时对高管进行安全培训也能让高管了解信息安全的重要性。
培训重点:信息安全战略和信息安全意识宣导方面
中层管理者
中层管理人员,是“承上启下”地执行战略和政策的中坚力量,如果对信息安全理解到位,既可以很好地贯彻执行企业的信息安全战略,也可以带动基层员工们主动落实信息安全防护措施,监督措施执行到位。
培训重点:信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面
所有部门基层员工
基层员工是直接从事信息采集、传输、使用的人员,是信息安全政策和具体措施的执行者。由于基层员工数量众多、接触的具体信息丰富,很容易被打开突破口,成为最容易泄密的群体。
培训重点:常见风险识别防范,信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面
技术人员
技术人员往往拥有比较大的权限,也是外部攻击者重点照顾的对象,这个团队的信息安全水平在很大程度上影响了金融企业的信息安全水平。
开发测试人员
培训重点:企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。
运维人员
培训重点
企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。
信息安全岗员工
培训重点:风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能
外包员工
企业存在大量的外包工作,出于成本节约和人员编制的考虑。外包人员也会接触到公司内的敏感信息,因此也需要进行培训。
培训重点:业外包制度和流程的具体内容、企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面
外部用户
大量的事实表明,很多的风险案例是由于客户对个人客户信息(例如用户名和密码等敏感信息)保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此,加强对客户及其他外部用户的信息安全意识教育和宣传培训,显得极其重要。
培训重点:侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等,甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式,让客户对信息安全保护相关内容印象深刻,引以为鉴
培训人员
针对不同的培训对象,培训师资的选择也应该有所区别
内部信息安全人员企业内训
针对基层员工和外包人员,由企业内部的信息安全人员开展内训是较好的选择,因为信息安全人员对于本企业内部的信息安全情况了解最为深入,非常清楚应该保护的信息主要有哪些,对规章制度、主要风险心中有数,可以结合日常信息安全检查工作中发现的具体风险事件案例,剖析产生风险的原因、应对措施等,并针对操作性要求进行详细的分析和讲解,做到有的放矢。
外聘讲师开展企业内训
针对企业高管、中层管理者,基于“外来和尚好念经”的原则,以及对监管趋势、同业案例更为了解的要求,外聘讲师入行培训是一个更优的选择。
外出参与团体培训
针对信息科技部门的开发、运维和信息安全人员,适当外出参加团体性的专业类培训不无益处:一方面,可以开拓眼界,提升自身专业水平,有利于回来转训;另一方面,可以创造机会与同业交流,扩展自己的知识面和人脉资源。
培训内容
安全意识培训与宣贯
安全意识主要包括下面的几个方面:
信息安全意识启蒙:信息安全的概念和常见危害
常见风险识别防范:账号安全,钓鱼风险,数据安全,办公环境安全等场景
安全联系方式:遇到一些疑似的安全事情应该及时联系安全人员
安全制度宣讲
主要讲述公司内设置的一些安全制度以及规范。比如必须经过安全审批的敏感数据提取和转移流程、特权账号建立和变更流程、涉及敏感信息的立项评审流程等,并且告知了新员工如何查阅整个安全管理体系里的策略、制度、规范、标准和流程。
安全法规
法律法规关于信息安全管理的要求。
·主要的与信息安全相关的监管要求和行业标准。·
信息安全管理体系的基本概念和管理要点。·
信息安全规章制度和流程中的重点要求。
安全技术基础培训(全体技术人员)
常见安全漏洞演示
安全开发流程介绍,如SDL和devsecops
安全制度宣讲
安全开发与编码培训(开发人员)
安全开发与编码培训是在安全技术基础培训上专门针对全体技术人员的进一步培训。大部分的技术漏洞的成因来自两个方面:一个是运维人员的配置或版本管理的问题,这方面可以通过自动监控措施、配置基线标准和版本控制流程取得不错的管控效果;另一个则是开发的设计和编码问题,尽管相关风险可以依靠安全评估机制发现和消除,但是不可避免地增加了开发人员的重复工作量,从而降低了整体运营效率。因此,减少自研系统安全风险更合理的方式是在编码阶段抑制漏洞的产生,要实现这点,就必须推行安全开发与编码培训。
培训形式
现场培训
现场培训是最常见的一种集中开展的培训形式,优点是大家精力比较集中,交流较为充分,在主题的选择上可以更为聚焦,讲解上可以更为深入。
在线培训
在线培训,由于3A(Anytime,Anywhere,Anyway,任何时间、任何地点、多种方式)的特性,因此最适合针对全员的培训
开办内外部信息安全专栏
通过公司简报,企微等方式创办信息安全专栏,发布一些常见的安全风险。
信息安全实战演练
信息安全实战演练,采用“真演实练”的方式,模拟一些真实的攻击场景,检验员工的信息安全意识和面对攻击的应对水平。这种“以练代训”的培训方式,可以给员工真实的体验和深刻的教训,因此得到了越来越多的重视和实际应用。如钓鱼邮件和病毒木马,社会工程学方式,撞库测试,弱口令等
定期发送风险提示
针对防钓鱼、弱口令、外发邮件安全、客户信息保护等常见的信息安全风险,可以制作一些风险提示或者电子期刊,结合实际案例,讲解这些信息安全风险的常见表现、解决措施等,主动推送给企业内部员工和外部客户,让大家从案例中吸取经验教训,避免重蹈覆辙
培训时机
全员每年例行培训
针对企业全员,每年需要例行开展一些培训,在主题和重点上可以轮换。例如,每年固定一个时间(例如在企业级工作会议或者企业级科技工作会议上)开展信息安全现场培训或者交流;每年固定一个时间(例如每年第三季度开始),组织全员参与Elearning在线培训等,使大家“温故而知新”,始终对信息安全“绷紧一根弦”。
员工入职马上培训
对于新入职员工,在入职后一个月内需要开展信息安全培训,最好采用现场培训的方式开展,使新员工熟悉了解信息安全管理的必要性和重要性、信息安全相关的基本概念、企业关于信息安全管理的基本原则、主要的规章制度要点、不能触碰的“高压线”和“底线”、违反信息安全规定的惩罚措施等,并通过案例学习掌握金融企业关于信息安全管理的基本要求,以帮助新员工在进入企业之初就了解企业的信息安全文化和信息安全管理原则,初步掌握信息安全相关的基本知识与技能,养成良好的安全习惯,在工作中注意遵守信息安全管控要求。新员工的信息安全意识培训考核结果,可以与员工的转正相结合。
高危人士时常培训
针对接触企业大量数据的信息科技人员、接触大量客户敏感信息的营销人员、掌握战略或人力资源管理等内部信息的关键岗位员工等“高危人士”,需要加大信息安全培训的频率,至少每半年接受一次培训,部分内容可以一直重复、常讲常新,部分内容可以根据当前形势与时俱进,提醒这些人士时刻警惕风险,防范主动或者被动的信息安全风险。
专业人士专场培训
针对信息科技开发、运维、安全等直接从事信息安全风险防范工作的人士,要定期组织专场的培训,可以内训也可以参加外训,深入学习最新的信息安全技术和理论知识,形成体系化的知识结构,在工作中实践运用。
特殊事件重点培训
在出现安全事件等特殊情况后,必须立即开展案例分析,分析事件发生的原因、影响、后续措施等,着重分析采取何种措施可以避免今后发生类似问题。
制定培训计划
上面讲了关于培训的一些基础知识,接下来我们看一下如何去制定企业内部的培训计划。制定信息安全培训计划需要综合考虑多个方面,包括培训目标、培训内容、培训对象、培训方式以及培训效果评估等。
建立培训计划的时候可以按照下面的步骤进行:
1)首先明确培训的目的是什么?如加强企业内的全体员工的安全意识
2)根据培训目的确认培训关联方
一方面明确培训对象及核心诉求,另一方面选择合适的培训师资力量
3)确定培训内容,培训方式和培训时机
4)制定实施计划
-
制定详细的培训时间表和计划,确保培训有序进行。
-
组织相关资源,如培训师、学习资料等,以确保培训的顺利进行。
-
根据培训形式,确定合适的培训场地或网络直播平台。
-
组织员工参与培训,并设立有效的激励机制以提高员工的积极性。
5)按照计划建立系统化,岗位针对性强的信息安全培训体系,形成面向对象的信息安全培训矩阵
6)培训效果评估
在完成培训后,对培训效果进行评估。评估方法可以包括考试、问卷调查、实操演练等,以了解员工对培训内容的掌握程度和培训的实际效果。根据评估结果,可以及时调整和改进培训计划,以提高培训质量和效果。
可以根据实际情况建立下面的一个培训计划表格
|
培训内容 |
培训对象 |
培训方式 |
培训时机 |
|
安全意识培训与宣贯 |
所有员工,新员工入职培训 |
在线培训 |
每年定期两次 |
|
安全法律法规 |
高级管理层中层管理员 |
外部讲师 |
每年定期一次 |
|
安全技术基础培训 |
技术人员 |
现场培训 |
两个月定期 |
|
钓鱼演练 |
所有员工 |
信息安全实战演练 |
每次定期一次 |
|
安全开发与编码培训 |
开发人员 |
现场培训 |
季度定期 |
效果衡量
培训的目的是让员工具有安全意识,能够识别一些常见的安全攻击。培训花费了大量的人力资源,如果不能取得应有的效果,那么就得不偿失。接下面就看看如何去衡量培训的效果。
我们可以从下面的三个指标去衡量培训的效果:覆盖情况指标、测量反馈指标和实际效果指标。
如下图所示
总结
本篇文章简要的说了一下企业内应该如何做安全培训,安全培训也是整个安全体系建设中非常重要的一环,但是这一环往往都比较容易被忽略。大家都追求技术上去解决问题,可技术不是万能的,还是要关注“人”这个重要的因素,重视安全培训的重要性。
参考链接
https://zhuanlan.zhihu.com/p/672890192
原文始发于微信公众号(信安路漫漫):浅谈企业安全培训
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论