压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

威脅持續(xù)進(jìn)化，網(wǎng)絡(luò)罪犯也越來越高端，缺乏成熟安全意識和培訓(xùn)項(xiàng)目的公司企業(yè)已經(jīng)處在重大風(fēng)險(xiǎn)邊緣。

Shred-it 的《第九份年度數(shù)據(jù)保護(hù)報(bào)告》揭示，超過半數(shù) (53%) 的首席級高管認(rèn)為自家公司的數(shù)據(jù)泄露源于外部組織或人為失誤導(dǎo)致的意外損失。另外，該報(bào)告還發(fā)現(xiàn)，96% 的美國人認(rèn)為，主流美國公司發(fā)生的數(shù)據(jù)泄露至少有部分原因在于疏忽大意的員工。

此類疏漏的損失很慘重，從數(shù)千到數(shù)百萬美元不等，而且價(jià)格還在不斷攀升。舉個例子，因?yàn)閱T工不小心點(diǎn)擊了網(wǎng)絡(luò)釣魚鏈接，導(dǎo)致勒索軟件侵入計(jì)算機(jī)系統(tǒng)，佛羅里達(dá)州里維埃拉海灘市最近就向黑客支付了 60 萬美元以解鎖文件。穆迪投資評級機(jī)構(gòu)最近估測，普遍認(rèn)為是因公司疏忽導(dǎo)致的 Equifax 數(shù)據(jù)泄露事件，將令該公司在今明兩年里承受約 4 億美元的網(wǎng)絡(luò)安全開支和資金投入。

威脅持續(xù)進(jìn)化，網(wǎng)絡(luò)罪犯越來越高端，攻擊越來越有針對性，這種態(tài)勢下，缺乏成熟安全意識和培訓(xùn)項(xiàng)目的公司企業(yè)已將自身置于重大風(fēng)險(xiǎn)境地。安全意識經(jīng)理應(yīng)該重新思考一下，自己對員工進(jìn)行潛在網(wǎng)絡(luò)攻擊通告和教育的方式，是不是過于含蓄了。

不過，這也不全都是壞消息。盡管安全意識與培訓(xùn)還有很長的路要走，公司企業(yè)雖步履緩慢卻也在不斷進(jìn)步，而行業(yè)領(lǐng)導(dǎo)者也正努力做出改善。以下就是部分安全專家對安全意識最新趨勢的看法。

意識不等同于培訓(xùn)

首先，安全人員需理解，意識和培訓(xùn)是不一樣的。KnowBe4 首席布道者及策略官 Perry Carpenter 在其最近出版的《變革性安全意識》一書中寫道：“意識到未必意味著會重視”。

InfoSec Institute 首席布道者 Lisa Plaggemier 所教授的安全意識從業(yè)人員認(rèn)證課程也反映出相同的觀點(diǎn)。她說：“過程和策略很好，但如果不能贏得員工從思想到意識上的認(rèn)同，那基本上等于在做無用功?！?/p>

意識主要是提供信息。培訓(xùn)則是旨在讓參與者改變行為。EY Americas 負(fù)責(zé)安全意識與培訓(xùn)開發(fā)的網(wǎng)絡(luò)安全總監(jiān) Alexandra Panaretos 表示：“意識就是，‘鎖好車門防止貴重物品被盜’；培訓(xùn)則是，‘這就是為什么罪犯會挑中你的車的原因’。”

重構(gòu)員工感知安全意識的方式

公司企業(yè)已經(jīng)深刻意識到，人為失誤和社會工程是太多數(shù)據(jù)泄露事件發(fā)生的根源。安全意識作為照單打勾式年度上機(jī)培訓(xùn)的一部分，已不能再減少此類事件的發(fā)生。

Plaggemier 稱：“沒有哪個行業(yè)會像安全行業(yè)一樣把人視為如此嚴(yán)重的問題。這么一想，就會覺得實(shí)在有點(diǎn)傷感。我是將技術(shù)看做對人類的促進(jìn)，同時并不認(rèn)為人在毀掉技術(shù)?！?/p>

通知和教育員工應(yīng)成為公司要務(wù)，不重視這一點(diǎn)的公司將為此背負(fù)陷入風(fēng)險(xiǎn)的責(zé)任。幸運(yùn)的是，行業(yè)影響者已經(jīng)開始改變企業(yè)思考安全意識的方式，公司企業(yè)也注意到人都是在不斷學(xué)習(xí)的，所以意識與培訓(xùn)也應(yīng)持續(xù)。

Panaretos 稱：“很多次之后，安全人員就會看出通用培訓(xùn)沒什么效果。微學(xué)習(xí)和即時學(xué)習(xí)才能真正改變員工工作方式。”

KnowBe4 的 Carpenter 稱：“如果你真心想要有效塑造員工安全相關(guān)的思維與行為，就得了解人們思考、行動、表達(dá)偏好、做出選擇和接受新觀念的天然方式?！?/p>

意識和培訓(xùn)應(yīng)不僅僅是一項(xiàng)常規(guī)要求。一個項(xiàng)目想要真正有效，安全必須成為企業(yè)文化的組成部分。另外，所提供的內(nèi)容也不應(yīng)該是侵入性的，不能讓員工覺得培訓(xùn)干擾了他們的業(yè)務(wù)工作。

無論是在其他工作必讀簡報(bào)中附帶一條每周安全小竅門，還是發(fā)布一段簡短幽默的小視頻，成功意識與培訓(xùn)的關(guān)鍵都是讓目標(biāo)受眾愿意去看。Panateros 說：“把你想傳達(dá)的東西滲透到目標(biāo)受眾的生活中，這樣你的內(nèi)容才不會被視為額外的負(fù)擔(dān)?！?/p>

設(shè)立安全意識經(jīng)理的職位

安全意識項(xiàng)目失敗的部分原因，是因?yàn)闆]有人或沒有團(tuán)隊(duì)負(fù)責(zé)通告和教育全公司的員工。

正如 SANS 安全意識總監(jiān) Lance Spitnzer 在 5 月 21 日的博客帖子中指出的，即便有公司確實(shí)設(shè)立了這樣的職位，其職責(zé)也沒有清晰的定義。盡管美國國家標(biāo)準(zhǔn)與技術(shù)局 (NIST) NICE 框架想要定義網(wǎng)絡(luò)安全勞動市場中的各個崗位，Spitzner 稱，安全意識經(jīng)理這樣職位也沒有一致的頭銜或充分的描述。

SANS 承擔(dān)了相互參照不同職位頭銜與職責(zé)以擬定統(tǒng)一稱謂的任務(wù)，拿出了“安全意識與溝通經(jīng)理”——統(tǒng)管當(dāng)前分配給參與安全意識及培訓(xùn)的大量個人的各項(xiàng)任務(wù)。

Spitzner 稱：“這個人專門負(fù)責(zé)向全體員工兜售網(wǎng)絡(luò)安全概念。他們的目標(biāo)是在整個企業(yè)中構(gòu)建安全行為，并最終達(dá)成一種安全驅(qū)動的文化?！?/p>

能讓人接受的安全項(xiàng)目

Panateros 認(rèn)為，改進(jìn)已有項(xiàng)目甚至創(chuàng)建全新項(xiàng)目，都始于與員工溝通。她說：“問他們一般性培訓(xùn)項(xiàng)目有哪些方面是他們喜歡或不喜歡的——不僅僅信息安全培訓(xùn)，而是整個培訓(xùn)?！?/p>

安全意識提供者還需與他們的人力資源和培訓(xùn)團(tuán)隊(duì)攜手合作，接受當(dāng)前內(nèi)容可能無效的現(xiàn)實(shí)。承認(rèn)員工可能不喜歡自己被灌輸?shù)膬?nèi)容，并將之視為變得更富創(chuàng)造力的機(jī)會。

Carpenter 建議公司企業(yè)編制不同策略，以儲備他所謂的“安全意識主管工具箱”。工具箱中應(yīng)包含新鮮有趣的內(nèi)容，范圍可以包括視頻、學(xué)習(xí)模塊、微學(xué)習(xí)、招貼畫、簡報(bào)通訊，甚至裝飾性帷幔。而且這些都得通過能讓人接受的文化連接以講故事的方式加以傳達(dá)。

Carpenter 說：“所有的故事匯聚成安全項(xiàng)目如何改變員工生活、改善整體風(fēng)險(xiǎn)態(tài)勢和企業(yè)彈性的大藍(lán)圖?！?/p>

Shred-it 的《第九份年度數(shù)據(jù)保護(hù)報(bào)告》：

https://www.shredit.com/en-us/data-protection/home?utm_source=Press-Release&utm_medium=Media&utm_campaign=DPR2019

SANS 5 月 21 日博客帖子：https://www.sans.org/security-awareness-training/blog/nist-nice-work-role-description-security-awareness-and-communications-manager