什么是安全意识培训，您应该在工作区中应用它吗？

研究报告表明，多达90％的数据泄露都是以某种方式与人为错误相关联的。很难说这个估计有多准确，但是，到目前为止，我们已经报道了很多网络安全事件，我们可以有把握地说，在大多数情况下，数据受到损害并不是因为黑客太聪明，而是因为负责的人确保它做得还不够。弱密码和其他配置错误是日常事件，公司似乎并不特别确定如何改变这一点。再一次，指出解决问题的原因被证明是如此困难，这远非世界上最容易的事情。然而，很少有人愿意争辩说缺乏意识并不是问题的一部分。

Table of Contents

工人们对威胁形势知之甚少

很容易将大多数网络安全错误归咎于鲁莽行为，而且可以说，经常会有不少数量的专家这样做。然而，我们认为，错误往往是普通的无知造成的。

用户不会使用“P @ ssword123”等密码保护敏感帐户因为他们希望看到数据落入坏人之手。他们这样做是因为他们不知道现代暴力攻击如何轻易破解这些密码。

他们将敏感信息放在安全性较差的服务器上，并不是因为他们希望看到他们工作的公司因为所有错误的原因而成为头条新闻，而是因为他们不知道网络犯罪分子能够多快找到易受攻击的数据。

简而言之，如果人们知道他们面临的是什么样的危险，他们就会更好地保护自己免受危险。

贵公司是否需要安全意识培训计划？

这不是一个问题，它是否需要它。这是一个需要什么类型的培训的问题。不幸的是，因为没有两个组织是相同的，回答它并不像你希望的那么简单。例如，如果您的员工在离线环境中处理大部分数据，那么教他们正确配置服务器防火墙对他们来说将无济于事。

良好的安全意识计划取决于您的工作人员完成工作的工具和机制的广泛知识。如果您真的要提高组织的安全性，那么您或聘请的专家必须考虑每一个细节。这确实涉及大量时间和（可能）资金，但这种培训的好处可以大大超过支出。然而，在你解决所有这些问题之前，你需要向你的工人传授有关现实世界和互联网上21世纪安全的一些基本真理。

安全意识培训的基础

根据您公司的需求定制的广泛培训计划是提高数据安全性的最佳方式. 然而，在你开始之前，你需要确保每个人都知道在家庭和办公室都需要考虑的一些普遍威胁。我们现在来看看它们，我们希望能帮助您的员工保持安全。

- 密码卫生差

我们已经在这些页面上广泛讨论了密码问题，您可能还需要与员工讨论密码问题。尝试向他们提供真实世界的证据，如凭据填充和密码喷涂攻击，并尝试向他们展示如何添加“123！”，而不是坚持理论上的可能性。到一个简单的字典词的结尾不会增加他们的密码的力量。至关重要的是，向他们展示Cyclonis Password Manager等专用密码管理工具如何帮助他们生成，组织和存储他们的登录数据。

- 网络钓鱼攻击

网络钓鱼可以说是最简单的网络攻击。例如，在大多数情况下，它使用最古老，最着名的在线交流方法（电子邮件），虽然骗子们使用的信心技巧往往非常聪明，但将骗局机器设置为动作的技术工作是没有那么多。不管你信不信，这些正是网络钓鱼攻击往往如此有效的原因。发送大量电子邮件很便宜，并且想出一个欺骗用户点击错误链接或打开错误文件的技巧并不是很困难。如果您的员工意识到这一点，他们将更有可能使用他们拥有的工具来保护自己。

- 缺乏双因素身份验证

通过启用双因素身份验证（或2FA），您将在黑客方面面临另一个障碍。这意味着，如果他们想要进入您的帐户，他们不仅需要您的用户名和密码，还需要访问您的电子邮件，手机或物理令牌。这些作为限制未授权访问可能性的第二个因素。

2FA不是防故障的。事实上，远非如此，但它仍然是添加另一层安全性的最简单方法，您的工作人员应尽可能使用它。

- 过时且易受攻击的软件

再一次，理论上解释旧软件带来的危险不太可能对你的工人造成任何真正的牵引力. 相比之下，如果您向他们展示用户如何继续让他们的PC感染恶意软件，因为两年前应该修补的安全漏洞，他们更有可能倾听。及时安装所有安全补丁可以为个人用户和整个组织节省很多麻烦。不可否认，这有时会导致问题，特别是如果使用的软件更复杂，但它不能成为让系统易受攻击的借口。毕竟，潜在的数据泄露不仅会损害人们的信息;它还会严重损害组织的声誉。

- 个人设备的安全性

你可以说这更多的是政策而不是培训问题，但是，在BYOD（自带设备）文化的时代，我们不能忽视它。研究人员一直在监测这些趋势，他们得出的结论是，当他们使用自己的手机，笔记本电脑或平板电脑工作时，工作人员确实感觉更舒服。然而，专家们还得出结论，许多人没有采取足够的措施来保护他们的数据，因为他们认为他们没有什么可失去的。如果您要让您的员工使用他们的个人设备完成与工作相关的任务，您需要确保他们完全了解赌注的高低。您还需要对可以从个人设备执行哪些操作以及哪些操作无法执行规则，您可能需要考虑投资强大的身份访问管理（IAM）系统。

- 身体安全

如果您的员工在计算机或其他电子设备的帮助下完成大部分工作，您可能会认为此项目并不是特别重要。但情况并非如此。当然，必须密切监视公司所在建筑物和办公室的访问情况，但还有其他一些不太明显的因素需要考虑。

例如，去年夏威夷紧急事务管理局（Japanian Emergency Management Agency）成为头条新闻，因为一名记者不小心拍下了一张贴有密码的便条纸。即使数据是数字格式，它仍然可以在物理世界中受到损害。 2017年，希思罗机场的一名员工丢失了一个包含“敏感个人数据”的USB记忆棒。闪存驱动器最终被发现并返回，但英国最大的机场最终支付了大约12万美元的罚款（按当前汇率计算约为15万美元）。

还有许多其他数据在现实世界中受到损害的原因，这就是为什么告诉您的员工，您放在便携式存储设备上的信息的安全性与您在线上传的数据的安全性同样重要。

培训计划的其余部分应旨在使公司特定的任务更加安全，再次，它应该更专注于现实世界的例子，而不是理论知识. 然而，在你能够做到这一点之前，你需要奠定基础，我们认为上面列出的列表是一个好的开始。关于它的好处是，如果你的工人知道他们面对的是什么，他们更有可能制定自己的规则和限制并坚持下去。反过来，这使您的工作变得更加容易。

由 Duran

July 16, 2019

Password Security

汉语