什麼是安全意識培訓,您應該在工作區中應用它嗎?
研究報告表明 ,多達90%的數據洩露都是以某種方式與人為錯誤相關聯的。很難說這個估計有多準確,但是,到目前為止,我們已經報導了很多網絡安全事件,我們可以有把握地說,在大多數情況下,數據受到損害並不是因為黑客太聰明,而是因為負責的人確保它做得還不夠。弱密碼和其他配置錯誤是日常事件,公司似乎並不特別確定如何改變這一點。再一次,指出解決問題的原因被證明是如此困難,這遠非世界上最容易的事情。然而,很少有人願意爭辯說缺乏意識並不是問題的一部分。
Table of Contents
工人們對威脅形勢知之甚少
很容易將大多數網絡安全錯誤歸咎於魯莽行為,而且可以說,經常會有不少數量的專家這樣做。然而,我們認為,錯誤往往是普通的無知造成的。
用戶不會使用“P @ ssword123”等密碼保護敏感帳戶因為他們希望看到數據落入壞人之手。他們這樣做是因為他們不知道現代暴力攻擊如何輕易破解這些密碼。
他們將敏感信息放在安全性較差的服務器上,並不是因為他們希望看到他們工作的公司因為所有錯誤的原因而成為頭條新聞,而是因為他們不知道網絡犯罪分子能夠多快找到易受攻擊的數據。
簡而言之,如果人們知道他們面臨的是什麼樣的危險,他們就會更好地保護自己免受危險。
貴公司是否需要安全意識培訓計劃?
這不是一個問題,它是否需要它。這是一個需要什麼類型的培訓的問題。不幸的是,因為沒有兩個組織是相同的,回答它並不像你希望的那麼簡單。例如,如果您的員工在離線環境中處理大部分數據,那麼教他們正確配置服務器防火牆對他們來說將無濟於事。
良好的安全意識計劃取決於您的工作人員完成工作的工具和機制的廣泛知識。如果您真的要提高組織的安全性,那麼您或聘請的專家必須考慮每一個細節。這確實涉及大量時間和(可能)資金,但這種培訓的好處可以大大超過支出。然而,在你解決所有這些問題之前,你需要向你的工人傳授有關現實世界和互聯網上21世紀安全的一些基本真理。
安全意識培訓的基礎
根據您公司的需求定制的廣泛培訓計劃是提高數據安全性的最佳方式. 然而,在你開始之前,你需要確保每個人都知道在家庭和辦公室都需要考慮的一些普遍威脅。我們現在來看看它們,我們希望能幫助您的員工保持安全。
- 密碼衛生差
-
- 我們已經在這些頁面上廣泛討論了密碼問題,您可能還需要與員工討論密碼問題。而不是堅持理論上的可能性,試著給他們真實世界的威脅例子
-
- 和
-
- 攻擊,並試圖向他們展示如何添加“123!”到一個簡單的字典詞的結尾不會增加他們的密碼的力量。至關重要的是,向他們展示如何使用專用的密碼管理工具
-
- 可以幫助他們生成,組織和存儲他們的登錄數據。
-
- 網絡釣魚攻擊
網絡釣魚可以說是最簡單的網絡攻擊。例如,在大多數情況下,它使用最古老,最著名的在線交流方法(電子郵件),雖然騙子們使用的信心技巧往往非常聰明,但將騙局機器設置為動作的技術工作是沒有那麼多。不管你信不信,這些正是網絡釣魚攻擊往往如此有效的原因。發送大量電子郵件很便宜,並且想出一個欺騙用戶點擊錯誤鏈接或打開錯誤文件的技巧並不是很困難。如果您的員工意識到這一點,他們將更有可能使用他們擁有的工具來保護自己。
-
- 缺乏雙因素身份驗證
通過啟用雙因素身份驗證 (或2FA),您將在黑客方面面臨另一個障礙。這意味著,如果他們想要進入您的帳戶,他們不僅需要您的用戶名和密碼,還需要訪問您的電子郵件,手機或物理令牌。這些作為限制未授權訪問可能性的第二個因素。
2FA不是防故障的. 事實上, 遠非 如此 ,但它仍然是添加另一層安全性的最簡單方法,您的工作人員應盡可能使用它。
-
- 過時且易受攻擊的軟件
再一次,理論上解釋舊軟件帶來的危險不太可能對你的工人造成任何真正的牽引力。相比之下,如果您向他們展示用戶如何繼續讓他們的PC感染惡意軟件,因為兩年前應該修補的安全漏洞,他們更有可能傾聽。及時安裝所有安全補丁可以為個人用戶和整個組織節省很多麻煩。不可否認,這有時會導致問題,特別是如果使用的軟件更複雜,但它不能成為讓系統易受攻擊的藉口。畢竟,潛在的數據洩露不僅會損害人們的信息;它還會嚴重損害組織的聲譽。
-
- 個人設備的安全性
你可以說這更多的是政策而不是培訓問題,但是,在BYOD(自帶設備)文化的時代,我們不能忽視它。研究人員一直在監測這些趨勢,他們得出的結論是,當他們使用自己的手機,筆記本電腦或平板電腦工作時,工作人員確實感覺更舒服。然而,專家們還得出結論,許多人沒有採取足夠的措施來保護他們的數據,因為他們認為他們沒有什麼可失去的。如果您要讓您的員工使用他們的個人設備完成與工作相關的任務,您需要確保他們完全了解賭注的高低。您還需要對可以從個人設備執行哪些操作以及哪些操作無法執行規則,您可能需要考慮投資強大的身份訪問管理 (IAM)系統。
-
- 身體安全
如果您的員工在計算機或其他電子設備的幫助下完成大部分工作,您可能會認為此項目並不是特別重要。但情況並非如此. 當然,必須密切監視公司所在建築物和辦公室的訪問情況,但還有其他一些不太明顯的因素需要考慮。
例如,去年夏威夷緊急事務管理局(Japanian Emergency Management Agency)成為頭條新聞,因為一名記者不小心拍下了一張貼有密碼的便條紙。即使數據是數字格式,它仍然可以在物理世界中受到損害。 2017年,希思羅機場的一名員工丟失了一個包含“敏感個人數據”的USB記憶棒。閃存驅動器最終被發現並返回,但英國最大的機場最終支付了大約12萬美元的罰款(按當前匯率計算約為15萬美元)。
還有許多其他數據在現實世界中受到損害的原因,這就是為什麼告訴您的員工,您在便攜式存儲設備上放置的信息的安全性與您在線上傳的數據的安全性同樣重要。
培訓計劃的其餘部分應該旨在使公司特定的任務更加安全,再一次,它應該更多地關注現實世界的例子,而不是理論知識。然而,在你能夠做到這一點之前,你需要奠定基礎,我們認為上面列出的列表是一個好的開始。關於它的好處是,如果你的工人知道他們面對的是什麼,他們更有可能製定自己的規則和限制並堅持下去。反過來,這使您的工作變得更加容易。
