《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 員工不應(yīng)成為企業(yè)安全建設(shè)短板 安全素養(yǎng)培訓(xùn)當(dāng)以結(jié)果為導(dǎo)向

員工不應(yīng)成為企業(yè)安全建設(shè)短板 安全素養(yǎng)培訓(xùn)當(dāng)以結(jié)果為導(dǎo)向

2022-11-30
來(lái)源:安全419

  對(duì)于企業(yè)用戶,安全建設(shè)從來(lái)都不是一件輕松的事情,因?yàn)榧炔荒苤竿ㄟ^(guò)堆積安全設(shè)備就能解決所有問(wèn)題,,也不能指望請(qǐng)幾個(gè)頂尖的安全專家就能保證自己安然無(wú)憂,畢竟安全實(shí)在過(guò)于復(fù)雜,,除了外部威脅之外,還要將眼光放在那些不論是在辦公室,,還是在任意地點(diǎn)辦公的員工們,。

  根據(jù)Proofpoint在2022年早些時(shí)候發(fā)布的《2022年內(nèi)部威脅成本全球報(bào)告》顯示,因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長(zhǎng),,而在這些事件當(dāng)中,,有56%的比例是源自于員工疏忽,,憑證管理問(wèn)題是員工最容易出現(xiàn)的安全問(wèn)題之一,有18%的威脅是源自于這一點(diǎn),。另外,,2022年5月國(guó)內(nèi)某知名互聯(lián)網(wǎng)企業(yè)遭受釣魚郵件攻擊事件可謂是一個(gè)典型,由此也引發(fā)了業(yè)內(nèi)的思考,,包括員工在內(nèi)的企業(yè)內(nèi)部人員,,怎么樣才能不會(huì)成為整個(gè)企業(yè)安全建設(shè)中的短板。

  說(shuō)到這里,,很多人都提到了安全培訓(xùn),,但所謂培訓(xùn),,指的是培養(yǎng)和訓(xùn)練,,兩者其實(shí)缺一不可的。事實(shí)上,,安全培訓(xùn)經(jīng)常被視作應(yīng)對(duì)包括網(wǎng)絡(luò)釣魚攻擊,、惡意軟件或其他安全危害的有效方法,因?yàn)楹芏喙芾碚邥?huì)理所應(yīng)當(dāng)?shù)卣J(rèn)為,,只要告訴內(nèi)部人員這個(gè)東西是危險(xiǎn)的,,那個(gè)東西是一種威脅,然后他們就不會(huì)成為受害者,,從而形成了對(duì)企業(yè)的防護(hù),。這種想法可能有點(diǎn)一廂情愿,因?yàn)樵谖覀兛磥?lái),,這幾乎就等同于告知行為,,它對(duì)于企業(yè)的安全建設(shè)會(huì)有幫助嗎?肯定會(huì),,因?yàn)槟呐轮挥?%的成果我們也不能說(shuō)它是無(wú)用的,,但從效果來(lái)看,相信它距離預(yù)期一定會(huì)比較遙遠(yuǎn),。

  應(yīng)付差事的事情我們見(jiàn)得多了,,因此難免也會(huì)有這種安全培訓(xùn)往往只是為了滿足一些企業(yè)的要求而不得不參與的情況,但實(shí)際效果如何呢,?根據(jù)Egress此前發(fā)布的一份報(bào)告顯示,,有98%的IT管理者表示,他們會(huì)在企業(yè)內(nèi)安排進(jìn)行安全培訓(xùn),,超過(guò)一半的受訪企業(yè)表示每年都會(huì)進(jìn)行幾次安全培訓(xùn),,甚至有近1/3的企業(yè)表示幾乎每個(gè)月都會(huì)有,而幾乎所有的受訪者認(rèn)為安全培訓(xùn)能夠帶來(lái)積極的變化,。

  但該報(bào)告的另外幾個(gè)調(diào)查選項(xiàng)的結(jié)果卻表現(xiàn)得有些“打臉”,,有84%的受訪者承認(rèn),在過(guò)去一年中他們是成功的網(wǎng)絡(luò)釣魚攻擊之下的受害者。而在原因方面也不出人意料——大多都是因?yàn)閮?nèi)部員工的行為,。最常見(jiàn)的情況就是,,員工被網(wǎng)絡(luò)釣魚郵件成功欺騙并做出錯(cuò)誤的行為,導(dǎo)致數(shù)據(jù)丟失,、將企業(yè)信息發(fā)送到某個(gè)人賬戶等等,。

  這一結(jié)果也驗(yàn)證了結(jié)論——通常的安全培訓(xùn)并沒(méi)有起到有效減少安全事件的發(fā)生。同時(shí)可以看到,,甚至連定期培訓(xùn)這種長(zhǎng)期一貫的方式也沒(méi)有收獲預(yù)期的成效,。

  如何才能提高安全培訓(xùn)的效果,讓其體現(xiàn)出應(yīng)有的價(jià)值,,并進(jìn)而影響到整個(gè)企業(yè)所有人呢,?在我們看來(lái),應(yīng)主要聚焦于兩點(diǎn):

  所有的安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為導(dǎo)向

  而不只是一項(xiàng)工作或統(tǒng)計(jì)數(shù)據(jù)

  對(duì)員工進(jìn)行安全培訓(xùn)的目的要保持清晰,,那就是為了幫助他們?cè)谖磥?lái)面臨可能出現(xiàn)的風(fēng)險(xiǎn)是能夠做出正確的選擇,。因此,安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為考量,,而不是在讓員工在安全培訓(xùn)的場(chǎng)地中簽到就算完成,。應(yīng)當(dāng)以盡可能接近真實(shí)的風(fēng)險(xiǎn)狀況去考驗(yàn)培訓(xùn)成果,以確定企業(yè)內(nèi)部人員在經(jīng)過(guò)安全培訓(xùn)之后是否會(huì)讓自己的行為更加規(guī)范,,這有這種良性的變化出現(xiàn),,才能認(rèn)為是有用的。

  大體上看,,這些行為主要包括能夠正確區(qū)分郵件類別,,并對(duì)敏感郵件進(jìn)行如加密等防護(hù)性操作。同時(shí),,還會(huì)遵循常態(tài)化的安全規(guī)則,,避免落入網(wǎng)絡(luò)釣魚郵件陷阱以及和后續(xù)可能會(huì)出現(xiàn)的一系列人為錯(cuò)誤。這些都可以通過(guò)測(cè)試來(lái)確定你的訓(xùn)練是否真的有積極的效果,。

  一般來(lái)說(shuō),,測(cè)試可以分為兩種形式:一種是公開(kāi)組織的,類似于中考,、高考,,無(wú)論如何都是一定要進(jìn)行的,人們對(duì)此也有預(yù)期,;另一種則是投入在日常的工作之中,,在真實(shí)場(chǎng)景中通過(guò)模擬測(cè)試的方式去進(jìn)行考察。

  公開(kāi)組織的測(cè)試必須要有,,可以和培訓(xùn)周期進(jìn)行配套,,但不建議培訓(xùn)完成之后馬上進(jìn)行測(cè)試,,而是間隔一段時(shí)間為宜。相比之下,,真正需要加強(qiáng)的是在日常中的模擬測(cè)試,,以觀察員工在日常工作當(dāng)中遭遇風(fēng)險(xiǎn)場(chǎng)景時(shí)是否能夠按培訓(xùn)內(nèi)容進(jìn)行應(yīng)對(duì),這種方式更能檢驗(yàn)培訓(xùn)成果,。

      基于對(duì)員工的安全評(píng)估結(jié)果

  對(duì)不同群體進(jìn)行有針對(duì)性的安全培訓(xùn)

  這一點(diǎn)也可以被視作為定制式的安全培訓(xùn),,雖然對(duì)于所有員工的安全培訓(xùn)是非常重要的,但由于每一個(gè)人經(jīng)歷,、能力以及在企業(yè)內(nèi)的工作角色不同,,為了保證安全培訓(xùn)的效果,我們建議如果有能力最好是根據(jù)情況進(jìn)行分類定制,。

  比如可以先期用一份通用的安全能力調(diào)查問(wèn)卷來(lái)評(píng)估所有員工的安全意識(shí)水平,,然后根據(jù)員工的資歷和工作角色,確定他們?cè)馐茱L(fēng)險(xiǎn)的概率和級(jí)別,,隨后進(jìn)行整體評(píng)估,,以確定對(duì)不同員工群體進(jìn)行更有針對(duì)性的安全培訓(xùn),。

  這里可以看出,,初期的調(diào)查和評(píng)估對(duì)于后期的培訓(xùn)安全至關(guān)重要,這種相對(duì)較高成本的針對(duì)性安全培訓(xùn)能否起效,,關(guān)鍵在于前期調(diào)查和評(píng)估是否準(zhǔn)確,,如員工是否存在通過(guò)特殊權(quán)限在敏感系統(tǒng)或?qū)χ匾獢?shù)據(jù)等方面引發(fā)安全事件風(fēng)險(xiǎn)的可能;員工是否有隨意訪問(wèn)各類網(wǎng)絡(luò)信息(如打開(kāi)惡意網(wǎng)站或惡意郵件的附件等)的行為,;員工對(duì)工作賬戶的口令管理態(tài)度是嚴(yán)格還是松懈等等,。這些都將有利于準(zhǔn)確的評(píng)估相關(guān)員工應(yīng)該屬于哪一類以及應(yīng)著重進(jìn)行哪些方面的安全培訓(xùn)。

  盡管這對(duì)于管理者而言提升了成本,,但從總體來(lái)看,,員工不會(huì)因?yàn)楸黄冉邮芘嘤?xùn)自己已掌握的東西而困倦甚至產(chǎn)生懈怠等消極心態(tài),相信在收獲的效果方面也會(huì)對(duì)應(yīng)提升,。

  安全培訓(xùn)的價(jià)值和意義不言自明,,它對(duì)于提升企業(yè)整體的安全水平有莫大幫助,但結(jié)合近期諸多結(jié)構(gòu)的報(bào)告結(jié)果,,不及預(yù)期的居多,。因此,還是應(yīng)當(dāng)抓住問(wèn)題的核心——一方面是教育培養(yǎng),,另一方面是實(shí)戰(zhàn)訓(xùn)練,,兩方面其實(shí)是缺一不可的。

  正如每次看到涉及大貨車的交通事故內(nèi)容時(shí),,下面總會(huì)有一堆人在評(píng)論“珍愛(ài)生命,、遠(yuǎn)離大貨”,,但他們知道應(yīng)該怎么做嗎?踩油門超越大貨車,?那不等于是在快速接近嗎,,談何遠(yuǎn)離?抑或是踩剎車?yán)_(kāi)距離,,但這是否又會(huì)增加被追尾的概率,?很多人都知道釣魚郵件中的東西不能點(diǎn)擊,但為什么還會(huì)有人做出了錯(cuò)誤的操作,,也許他們?nèi)钡牟皇且庾R(shí),,而是如何準(zhǔn)確區(qū)分正常與風(fēng)險(xiǎn),以及判斷接下來(lái)應(yīng)如何做,,這些光靠理論教育必然是收效甚微的,,如果不通過(guò)真實(shí)場(chǎng)景下去親身體會(huì),員工恐怕仍不會(huì)真正掌握如何與這類風(fēng)險(xiǎn)對(duì)抗,,自然也就把企業(yè)置于一種潛在風(fēng)險(xiǎn)之下,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。