专家说,了解安全意识的关键
越来越多的组织理解人类是安全的关键因素,但顾问加工公司联合创始人Jessica Barker表示,由于安全意识计划失败,而且令人沮丧。
“安全意识培训通常涉及告诉人们应该做的事情,但成功的关键是使用基于示范的培训,以便人们真正了解为他们和他们的组织的网络安全问题,”她们在伦敦讲述了InfoSecurity Europe of InfoSecurity Europe的参加者。
“组织需要揭开网络安全,并且这样做的一种方式是举办网络安全家庭日,让他们能够在家中学习如何保护自己,这使得谈话谈话,”巴克说。“
“通过让他们有机会提问有关自己的安全性并向他们提供所需的工具,您更有可能改变他们对网络安全的思考,以便他们在家里做的工作相同的方法。”
她说,建立安全意识培训计划可能相当令人生畏,特别是因为许多这些计划未能实现改变人民行为的目标。但它可以完成,第一步是理解组织。
“就其部门,规模,地理,数据资产,网络威胁以及最具破坏性的网络事件看起来像是理解组织的样子,然后就人们实际工作的方式和网络安全挑战而言,了解组织,“巴克说。
她说,一个有效的方法,了解如何在现实生活中运作,是与在本组织中工作的人交谈,在每个部门建立焦点小组,并找出人们正在处理的数据,他们正在关注哪些实践以及他们在哪里正在努力努力。
“通常,我们发现在纸上,人们有一个很好的意识水平,但实际上他们对网络安全的理解和旨在支持它贫穷的流程,因为恐惧而言,网络安全事件报告较低了较低的网络安全事件报告。报复,安全措施很差,密码共享相当普遍,“巴克说。
在一个特定的组织中,她说,员工表示他们认为网络安全问题是“过度炒作”,尽管事实上,首席执行官欺诈实例,员工通过声称来自掌握的电子邮件欺骗攻击者首席执行官或其他高级主管。
“一旦你熟悉组织以及它是如何工作的,那么确定安全意识培训的目标,”巴克说。“决定您想要的行为,例如人们参与网络安全,报告问题和关注的文化,以及遵循关于社交媒体和密码使用的最佳实践。
“然后向后工作以确定专注于基于示范的培训的差距和特定领域,这些培训与组织中的人民角色相关。”
一旦完成所有初始培训,组织就应该确保该过程继续并不断加强,并持续加强,以及这样做的方式是使用网络安全冠军。然而,人们认为,人们志愿人士志愿者说。
“如果它是在志愿者的基础上完成的,这确保了冠军角色的所有人都希望参与,并且通过了解他们为什么自愿进行,组织可以确保他们的冠军实现他们期望的内在奖励,例如在他们的进步方面取得进步她说,网络安全事业或能够让家人更安全,“她说。
保持高水平的安全意识和确保人们遵守所需行为的另一个关键方面是不断评估通过与组织中的人交谈,观察其行为的工作人员,并从网络安全冠军那里获得反馈。
“使用这些评估工具随着时间的推移来衡量进展,并找出了工作的工作以及没有什么,而不是依赖于发送网络钓鱼电子邮件或进行调查的东西,”巴克说。
“最重要的是,在设计安全意识计划时,确保它专注于人们,他们工作的方式,他们学习的方式以及对他们来说重要的方式。确保足以有效地说服他们改变他们的行为并遵循最佳实践。“