如何培训提高员工的网络安全意识?
#头条创作挑战赛# #网络安全#
网络安全培训经常被吹捧为打击网络钓鱼攻击、恶意软件和其他安全隐患的最佳方式之一。想法是,只要您的员工知道如何检测这些威胁,他们就不会成为这些威胁的受害者。但是,向员工提供的网络安全培训类型对您的努力是否有效有很大影响。#网络安全从你我做起#
电子邮件安全提供商Egress最近的一份报告指出了旨在满足某些勾号的通用培训的陷阱,并就如何提高您的网络安全意识(SA&T)提供了一些提示。为了汇编其报告《为什么打勾的SA&T》永远不会改变网络安全行为,Egress使用了从过去对IT安全领导者的调查中收集到的见解。
网络安全培训
公司多久对员工进行一次网络安全最佳实践培训?
在一项调查中,98%的IT领导者表示,他们至少进行了某种形式的网络安全培训。超过一半的人报告说,他们每年提供几次,而超过三分之一的人每月提供。几乎所有接受调查的人都表示,他们相信网络安全培训可以给员工带来长期、积极的变化。
然而,84%的受访网络安全管理人员承认,在过去12个月里,他们是网络钓鱼成功袭击的受害者。这种漏洞在很大程度上是由于人类的行为而持续的。员工会因网络钓鱼电子邮件而堕落,因错误而导致数据丢失,并违反某些规则,例如将工作信息通过电子邮件发送到个人账户。要点是,提供通用网络安全培训并没有有效地减少安全事件。#网络安全培训#
使网络安全培训更有效
为了帮助您提高安全培训的价值和影响,Egress提供了三项建议。
衡量的是结果而不是活动
您需要衡量网络安全培训的真实结果,而不仅仅是将员工参与度视为统计数据。考虑您希望看到培训后发生变化的员工行为,然后确定他们是否真的发生了变化。
此类行为包括正确分类要加密的敏感电子邮件,遵循安全警告,不属于网络钓鱼电子邮件,并避免一般的人为错误。这些都可以衡量,以确定您的培训是否真正产生了积极的影响。
为某个个体进行针对性培训
不要为所有员工提供相同的通用培训,而是根据历史、需求、工作角色和其他因素为个人量身定制您的培训。您可以从使用安全问卷开始,以衡量不同员工的风险水平。然后,考虑员工的工作角色和资历水平,以确定他们成为网络攻击目标的可能性。
接下来,评估员工意外或故意通过特权数据或敏感系统造成网络安全事件的风险。此外,查看员工过去的行为,看看他们是否以及多久会因为网络钓鱼电子邮件而上当,浏览恶意网站,未能保持适当的密码卫生,并违反您的安全准则。然后,您可以根据这些因素提供正确的安全培训和辅导。
将您的网络安全培训与实时教学时刻相结合
定期和正式的安全培训当然占有重要地位。但是,在员工即将执行危险行动时,例如回复网络钓鱼电子邮件时,请考虑通过实时干预或推动来支持这一点。使用智能安全工具,您可以在可疑或恶意电子邮件上显示横幅,提醒员工注意风险。
在入站电子邮件中,横幅可能会警告帐户被接管或冒充的可能性。在出站电子邮件中,如果用户即将将消息发送到错误的地址或附加错误的文件,横幅可能会警告用户。这些类型的干预不仅可以在安全漏洞发生之前阻止它们,还可以帮助人们了解为什么某些行动被标记。
#安全培训#