如何更有效地进行安全培训

Security-awareness-training

在企业信息安全中, 人员往往是最薄弱的一环, 然而, 有调查显示, 大约有50%的企业对于员工的安全意识培训是不足的。 那么如何能够更加有效地对员工进行安全意识培训呢?

企业管理协会(Enterprise Management ASSOciate)最近发布了一份名为“安全意识培训, 不仅仅是为了应付合规性要求”的调查报告。 这份报告调查了从少于100人的小企业到超过10000人的大企业的600名员工, 结果显示, 有56%的员工根本没有接受过任何安全意识培训。

根据美国电信运营商Verizon的一份关于数据泄露的报告, 大约五分之四的的数据泄露都起源于用户认证信息盗窃, 而用户信息盗窃主要是被黑客通过类似社交工程的攻击方式获得的。 而目前黑客们的社交工程攻击方式也正在变得越来越复杂和难以防范。

而在EMA的报告中, 由于相当大一部分员工没有足够的安全意识培训, 很多人的日常行为具有很高的安全风险, 比如, 大约三分之一的人在工作和个人设备上设置了相同的密码, 超过35%的人承认他们曾经点击过来自不明来源的邮件中的链接, 而近三分之二的人会把工作相关的信息存在云端, 58%的人会把敏感信息存在手机上等等。

EMA的研究总监David Monahan认为, 企业员工缺乏安全意识的原因在于企业没有足够重视安全意识培训, 或者说没有看到安全意识培训的价值。 而这往往是因为企业的安全意识培训项目设计的不好, 很多情况下, 企业没有采用行业的最佳实践, 而只是为了应付合规性打打勾, 安全意识培训往往搞成类似研讨会的形式, 或者放些令人昏昏欲睡的PPT了事。

这样的话, 往往给员工一个信息, 就是:“其实公司也无所谓”, 这样的话, 员工也就不可能真正重视。

安全研究公司Solutionary的高级安全战略顾问Jon-Louis Heimerl指出, 一个常见的问题就是企业的培训内容与员工的日常工作相关性不大。 “真正的安全意识不仅仅是介绍一些安全概念, 你必须培养员工的安全习惯, 鼓励员工采取良好的安全工作方式。 安全意识培训必须和企业业务相关, 一个石油公司的安全意识培训内容可能就不适合一个连锁超市的安全培训。 ”

对那些希望能够进行有效的安全意识培训的企业来说, 下面是一些需要注意的原则

1)        使得培训体系和过程尽量简单和对用户友好,

2)        帮助员工理解安全习惯的重要性

3)        鼓励员工根据自己的理解采取合适的决策

4)        不要简单的命令员工, 帮助他们建立安全习惯

5)        把安全习惯的建立纳入人事考核的范畴

6)        对员工良好的安全习惯予以奖励, 对不好的安全习惯进行惩罚

另外 根据安全培训专家Lance Spitzer的建议, 对员工安全意识的培训, 不要一开始就讲“这样会对公司如何如何”, 可以从如何保护他们的孩子和他们个家用设备免受网络攻击开始, 这样能够使得他们更加容易建立起安全意识和习惯。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:


关于作者

最牛的信息安全新媒体 (www.aqniu.com)

写评论

忘记密码

X