意識教育不等于培訓 先接地氣再談培訓
責編:gltian |2019-08-27 14:05:06威脅持續進化,網絡罪犯也越來越高端,缺乏成熟安全意識和培訓項目的公司企業已經處在重大風險邊緣。
Shred-it 的《第九份年度數據保護報告》揭示,超過半數 (53%) 的首席級高管認為自家公司的數據泄露源于外部組織或人為失誤導致的意外損失。另外,該報告還發現,96% 的美國人認為,主流美國公司發生的數據泄露至少有部分原因在于疏忽大意的員工。
此類疏漏的損失很慘重,從數千到數百萬美元不等,而且價格還在不斷攀升。舉個例子,因為員工不小心點擊了網絡釣魚鏈接,導致勒索軟件侵入計算機系統,佛羅里達州里維埃拉海灘市最近就向黑客支付了 60 萬美元以解鎖文件。穆迪投資評級機構最近估測,普遍認為是因公司疏忽導致的 Equifax 數據泄露事件,將令該公司在今明兩年里承受約 4 億美元的網絡安全開支和資金投入。
威脅持續進化,網絡罪犯越來越高端,攻擊越來越有針對性,這種態勢下,缺乏成熟安全意識和培訓項目的公司企業已將自身置于重大風險境地。安全意識經理應該重新思考一下,自己對員工進行潛在網絡攻擊通告和教育的方式,是不是過于含蓄了。
不過,這也不全都是壞消息。盡管安全意識與培訓還有很長的路要走,公司企業雖步履緩慢卻也在不斷進步,而行業領導者也正努力做出改善。以下就是部分安全專家對安全意識最新趨勢的看法。
意識不等同于培訓
首先,安全人員需理解,意識和培訓是不一樣的。KnowBe4 首席布道者及策略官 Perry Carpenter 在其最近出版的《變革性安全意識》一書中寫道:“意識到未必意味著會重視”。
InfoSec Institute 首席布道者 Lisa Plaggemier 所教授的安全意識從業人員認證課程也反映出相同的觀點。她說:“過程和策略很好,但如果不能贏得員工從思想到意識上的認同,那基本上等于在做無用功。”
意識主要是提供信息。培訓則是旨在讓參與者改變行為。EY Americas 負責安全意識與培訓開發的網絡安全總監 Alexandra Panaretos 表示:“意識就是,‘鎖好車門防止貴重物品被盜’;培訓則是,‘這就是為什么罪犯會挑中你的車的原因’。”
重構員工感知安全意識的方式
公司企業已經深刻意識到,人為失誤和社會工程是太多數據泄露事件發生的根源。安全意識作為照單打勾式年度上機培訓的一部分,已不能再減少此類事件的發生。
Plaggemier 稱:“沒有哪個行業會像安全行業一樣把人視為如此嚴重的問題。這么一想,就會覺得實在有點傷感。我是將技術看做對人類的促進,同時并不認為人在毀掉技術。”
通知和教育員工應成為公司要務,不重視這一點的公司將為此背負陷入風險的責任。幸運的是,行業影響者已經開始改變企業思考安全意識的方式,公司企業也注意到人都是在不斷學習的,所以意識與培訓也應持續。
Panaretos 稱:“很多次之后,安全人員就會看出通用培訓沒什么效果。微學習和即時學習才能真正改變員工工作方式。”
KnowBe4 的 Carpenter 稱:“如果你真心想要有效塑造員工安全相關的思維與行為,就得了解人們思考、行動、表達偏好、做出選擇和接受新觀念的天然方式。”
意識和培訓應不僅僅是一項常規要求。一個項目想要真正有效,安全必須成為企業文化的組成部分。另外,所提供的內容也不應該是侵入性的,不能讓員工覺得培訓干擾了他們的業務工作。
無論是在其他工作必讀簡報中附帶一條每周安全小竅門,還是發布一段簡短幽默的小視頻,成功意識與培訓的關鍵都是讓目標受眾愿意去看。Panateros 說:“把你想傳達的東西滲透到目標受眾的生活中,這樣你的內容才不會被視為額外的負擔。”
設立安全意識經理的職位
安全意識項目失敗的部分原因,是因為沒有人或沒有團隊負責通告和教育全公司的員工。
正如 SANS 安全意識總監 Lance Spitnzer 在 5 月 21 日的博客帖子中指出的,即便有公司確實設立了這樣的職位,其職責也沒有清晰的定義。盡管美國國家標準與技術局 (NIST) NICE 框架想要定義網絡安全勞動市場中的各個崗位,Spitzner 稱,安全意識經理這樣職位也沒有一致的頭銜或充分的描述。
SANS 承擔了相互參照不同職位頭銜與職責以擬定統一稱謂的任務,拿出了“安全意識與溝通經理”——統管當前分配給參與安全意識及培訓的大量個人的各項任務。
Spitzner 稱:“這個人專門負責向全體員工兜售網絡安全概念。他們的目標是在整個企業中構建安全行為,并最終達成一種安全驅動的文化。”
能讓人接受的安全項目
Panateros 認為,改進已有項目甚至創建全新項目,都始于與員工溝通。她說:“問他們一般性培訓項目有哪些方面是他們喜歡或不喜歡的——不僅僅信息安全培訓,而是整個培訓。”
安全意識提供者還需與他們的人力資源和培訓團隊攜手合作,接受當前內容可能無效的現實。承認員工可能不喜歡自己被灌輸的內容,并將之視為變得更富創造力的機會。
Carpenter 建議公司企業編制不同策略,以儲備他所謂的“安全意識主管工具箱”。工具箱中應包含新鮮有趣的內容,范圍可以包括視頻、學習模塊、微學習、招貼畫、簡報通訊,甚至裝飾性帷幔。而且這些都得通過能讓人接受的文化連接以講故事的方式加以傳達。
Carpenter 說:“所有的故事匯聚成安全項目如何改變員工生活、改善整體風險態勢和企業彈性的大藍圖。”
Shred-it 的《第九份年度數據保護報告》:
SANS 5 月 21 日博客帖子:https://www.sans.org/security-awareness-training/blog/nist-nice-work-role-description-security-awareness-and-communications-manager