科技进步最大的悲剧是,科技进步的速度比社会的集体智慧快得多。 这是艾萨克·阿西莫夫几十年前在评论科学与社会之间的关系时所说的。
时至今日,互联网已经成为现代生活从个人领域到专业领域的方方面面的重要组成部分。 尽管我们对互联网的依赖性日益增强,但令人惊讶的是,网络安全意识在很大程度上仍然被忽视。
在个人层面上,个人可能因为不了解良好的网络安全做法而得到原谅。 但在公司层面,至少可以说,公司的疏忽和拒绝提高员工的网络安全意识是令人惊天惊奇的。
根据 Chubb公布的一份报告,只有 31%的 受访员工表示接受过全公司的网络安全教育和培训。
随着 covid-19 大流行增加了大多数企业对在线连接的需求,安全漏洞风险的增加太高,不能掉以轻心。 因此,对于企业来说,这是一个关键时刻。 如果网络安全培训和意识的重要性继续被淡化,公司将首当其冲地受到数字攻击的冲击。 在不稳定的经济中,这可能会带来毁灭性的后果。
我写这篇文章的目的是在促进对公司需要投资于其员工网络安全培训的紧迫感方面发挥很小的作用。 与其像我通常写这类问题的文章时那样,提出有利于我论文的论据,我而是决定邀请安全专业人员,分享他们对我们这个紧迫但往往被忽视的问题的看法。
以下是各种行业专业人士的想法,我感谢他们与我们分享他们的见解。
为什么网络安全培训很重要(据专家称)
南希·萨比诺——萨比诺公司首席执行官兼联合创始人
员工将成为应对网络安全威胁的第一道防线。 如果他们不知道威胁是什么,如何注意到它们,以及如何处理它们,它们就成了一种风险,而不是预防的来源。
当您评估组织中的风险时,让了解并了解自己正在寻找什么的员工以及如果发生某些情况如何快速响应,将显著移动表盘以降低您的风险。 建立预防总是最好的,而不是处理补救,这可能是极其昂贵和耗时的。
就我个人而言,我公司提供的持续培训可以继续磨练我的技能,并跟上新趋势的出现。 我们还向我们所有的客户提供此服务,以便他们也能帮助我们积极主动。
这绝对是值得的,因为仅凭意识就弯曲了电子邮件中发生的点击次数以及输入网络钓鱼电子邮件的数据量等。
约翰·斯瓦齐奇–精英赛克的创始人兼首席顾问
不管你喜欢与否,员工仍然是恶意方在想要访问贵公司时所追求的#1载体。 通过通常的网络钓鱼电子邮件来”视频钓鱼”(语音网络钓鱼),他们会利用员工的良好本性来获取组织的数据、财务或商业机密。
我接受和接受网络安全培训很多年了,我可以说,如果做对了,这是必不可少的。 不要只给你的最终用户一个30分钟的视频或基于计算机的培训模块 – 为他们提供的例子,如果他们爱上了这些电子邮件之一会发生什么。
下游效应是什么? 个人会怎么样? 这远比告诉员工:”不要点击链接或从可疑电子邮件下载附件更有用。
史蒂文·魏斯曼 – 网络安全专家和宾利大学教授
公司的安全性只与其员工从事的最少的网络安全实践一样安全。 勒索软件、数据泄露、重要知识产权被盗以及商业电子邮件泄露等网络攻击可能会对公司产生毁灭性影响。
我是网络安全专家,宾利大学教授,在那里我教授白领犯罪。 我还写博客 诈骗, 我每天提供有关最新的网络安全发展的新信息。
在 Bentley 网络安全是一个优先事项和培训,特别是识别鱼叉式网络钓鱼电子邮件和实践重要的网络安全基础知识,如不点击链接,除非它们已被确认是合法的不断强调。 当这种培训以非判断性和有帮助的方式进行时,它非常有效。
安迪·索尔 – 网络安全在钢根发挥
在组织环境中,网络安全意识对员工非常重要,因为 COVID-19 已完全改变了环境,使网络安全成为比以往更大的商业威胁。 这是由于从事远程工作的人数显著增加:这导致以下因素:
- 行为变化: 在异地工作,员工往往更放松,更可能放松警惕——甚至可能回复旨在向黑客提供数据访问的电子邮件。 此外,随着压力水平的提高,工作人员可能更倾向于被动,在行动上缺乏战略性。
- 情况变化: 在不同地点工作,安全说明和访问规则可能会从裂缝中消失。 这可能导致对交易和其他关键工作流程的监管不那么严格。
- 技术变革:突然间,公司被迫将防火墙扩展到办公室的物理边界之外。 公司系统正从各种设备,甚至个人设备访问。 这些变化可能导致妥协、数据泄露和其他挑战。
克里斯·西尔博 -网络之夜业务发展副总裁
我参与过网络安全培训以及提供培训,吸引受众最重要的部分是帮助他们了解负面影响,如丢失或被盗的个人信息、与业务相关的信息以及导致财务损失的合法处罚。 帮助人们首先了解后果,以便他们花时间学习如何防止此类后果的发生
史蒂文·所罗门 –证券化360副总裁
网络安全意识可降低发生高影响安全事件的风险,这些事件可能会损害业务。 根据我的经验,提供安全教育和意识培训是一项有价值的活动,被许多商业领袖视为一种规避成本的活动。
它正式提醒员工,在开展工作时需要考虑重要的安全政策和程序,并定义了未能遵守良好网络卫生的后果。 由于威胁盛行和安全事故成本高昂,员工在日常活动中应保持警惕。
辛迪·墨菲 –利乐防务数字法证总裁
意识计划和员工安全培训计划对于保护组织拥有的敏感数据至关重要。 我主张提供网络安全培训,以便员工能够识别恶意活动。 例如,骗子仍然主要使用电子邮件来欺骗受害者。
在这个时代,新的是电子邮件中的欺诈性消息:CDC要求比特币捐款。 您的 COVID-19 税务减免文件可在此(假)网站上找到。 如果你点击这里,世界卫生组织的医生有”药物建议”。 这是最糟糕的社会工程——不幸的是,它更有可能在这些不确定的时代工作。
在过去的三个半月里,人们并没有变得更容易受骗:他们已经习惯了小消息的大变化。 当下一个新闻标题可能是安全或疾病问题时,更容易相信您的收件箱中显示的信息。
马克·索托 –赛比库斯首席执行官
网络安全意识对员工很重要的最大原因之一是,绝大多数数据泄露(根据源在 60-80% 之间变化)是由于内部员工错误造成的,而数据泄露的近(上述%-40% 的原因相同)是由于恶意内部员工造成的。
您的员工需要了解网络安全的基本知识、公司外部以及公司内部的网络危险。 我们通常与公司合作,一旦他们受到攻击,但我们肯定会认为网络安全培训是值得的。
您可以花费数百万美元为您的公司购买最好的高高级网络安全软件,但如果您的员工在最佳实践方面不够了解,您只是在浪费您的资金。
只有这么多的软件可以做,以防止攻击由于人为错误,如果你的员工不知道为什么他们不应该插入随机USB棒到他们的电脑或不点击随机的电子邮件链接从阴暗的电子邮件地址,那么你一定会被黑客攻击,无论你使用什么类型的软件或技术。
马蒂·普拉尼克 – Atlantic.net 总裁兼首席执行官
我们现在看到的几年前并不真正存在的一个主要趋势是员工 网络安全培训。 这应该是公司文化的一部分,而且它在你的公司越普遍,人们就越会购买它。 尝试在入职过程中让 CIO 或 IT 经理参与其中,让新员工真正地将安全的重要性推上新岗位。
对于长期员工,请确保您的信息通过团队领导传递。 尽量远离长电子邮件和备忘录,很多员工会在删除之前浏览前几句。
相反,尝试创建一些视频,或者在办公室的主要区域挂上一些信息图,如休息室、喷泉附近,甚至在洗手间。 即使您的员工对安全性不感兴趣,反复阅读视觉形式的短语和操作也有助于他们记住在网上发生不寻常的事情时所说的信息。
尼克·桑托拉 –课程首席执行官
根据各种报告,自冠状病毒爆发以来,网络攻击增加了 500%。 黑客和坏演员正在利用这个不幸的时刻,我们都正在经历。 我们看到许多针对员工的网络钓鱼攻击,这些员工现在是大量远程员工的一部分,网络安全培训的缺乏是显而易见的。
#1最有效的网络安全战略是培训公司各个级别的员工在可疑电子邮件、潜在的网络钓鱼骗局甚至勒索软件攻击中查找的内容。
阿尔·马塞拉博士 – CISAM,CISA,业务自动化顾问总裁
我们常说”知识就是力量”,然而,在我们全球互联、始终全天24/7、信息依赖的世界中,数据是一种商品——数据具有价值。 获得权力的不再是知识,而是今天,”信息就是力量”。
不负责任地保护和保护组织信息资产的员工总是会使组织处于危险之中。。。财政上,竞争上,法律上。
我提供网络安全培训已超过 35 年。 培训使员工在单击外部电子邮件、向呼叫者提供信息、打开 Web 链接、扫描 QRC 代码或采取任何可能使自己或其组织处于危险之中的行动之前停下来思考,这些培训是积极的、容易接受的、及时的, 主动培训。
网络安全不仅针对 IT/技术人员
我注意到,很多时候,围绕网络安全培训的讨论往往认为,只有技术人员需要精通安全最佳实践。 但这忽略了这样一个事实,即即使负责设计公司网络的人在将风险降到最低方面做了彻底的工作,只需要公司中的一个人点击错误的链接来撤消这一切。
有必要消除这种想法,使网络安全意识成为一个包罗万象的计划。 以下是一些专家对这个问题的看法:
汤姆·基南博士 – 卡尔加里大学教授
即使是接待员也需要网络安全培训和意识!
我永远不会忘记几年前在 DEF CON 举行的”社会工程挑战赛”,当时的目标是从汽车经销商那里获取信息,据说是因为这些信息将被视为虚假的”本月经销商”。
接待员放弃了诸如”您的公司运行什么版本的 Windows?”,”您的首席财务官的姓名和电子邮件是什么?” ,甚至”您的垃圾收集哪一天?”
因此,当我去一家公司做网络安全意识培训时,我通常与接待员聊得很愉快,然后可以告诉首席信息官和 CEO 关于他们公司的各种有趣的事情。 每次都能工作!
加布·特纳 – Security.org网络安全专家
我认为培训的重点应该是任何为公司相关目的使用电子设备的员工,特别是如果他们使用互联网。 虽然如果出现任何数据泄露,IT 人员显然会被带进来,但培训员工本身就是一种预防措施,而不是一种被动措施,首先降低了企业发生数据泄露的机会。
伊利亚·索特尼科夫 –内特里克斯公司产品管理副总裁
从 IT 员工到非 IT 员工,所有团队的定期培训课程将帮助员工更好地了解他们应该如何应对黑客活动。 例如,如果您包含有关网络钓鱼和最新诈骗的信息,则工作人员可能会不会单击电子邮件中的可疑链接,并将这些消息发送给 IT 团队。
此外,这些培训课程将帮助各级和各部门的员工了解,他们个人对组织的安全态势负责,这可能有助于他们提高警惕。 这可能无法完全消除数据泄露的风险,但您肯定会拥有更好的工作场所文化,您的数据和系统将受到更大的保护。
达伦·德斯拉特 –委托解决方案的漏洞运营领导者
您的企业网络安全培训计划绝对应该涵盖所有员工。 近 90% 的网络攻击是由人为错误或疏忽造成的。 克服这些困难的最佳方法之一是确保您组织中的每个人都了解他们的责任,从 CEO 到远程承包商,确保您的公司网络安全。
网络安全培训计划中要包含的关键主题
为了使 网络安全计划 有效,培训计划应适当设计,包括有效提高员工意识的主题,而不会让他们感到不知所措。 这是就此问题发表意见的专家的普遍共识:
克里斯·西尔博 – 网络之夜业务发展副总裁
有许多网络安全主题,员工应该接受培训,最终应该取决于员工所处的位置。 例如,技术/IT 部门员工应更加严格地处理,因为他们的任务是以某种形式或形式管理公司网络。
员工如果更是公司网络的普通用户,则应接受另一种形式的培训,重点是以更简单的方法管理域的安全性。 最后,培训不应以长格式进行,使员工能够迅速失去注意力。 培训应经常进行,但持续时间较短。 一年培训的高潮将被证明是一个更好的过程,而不是一次投入几个小时。
尼克·桑托拉 – 课程首席执行官
一些关键的 网络安全意识培训主题 将是:
1. 网络钓鱼 – 针对组织的大多数网络攻击将通过电子邮件网络钓鱼进行。 员工需要了解如何识别网络钓鱼攻击,并防止在电子邮件中不点击可疑链接。
2. 密码保护 – 员工应该了解如何创建强密码,例如不使用易于猜测的密码(如”1234″)。他们还应了解个人帐户和企业帐户之间重复使用密码的风险,如何使用密码管理器(”vault”),并了解为什么密码在保护其在线帐户方面如此重要。
3. 信息安全 – “信息安全”就是保护组织的数字信息资产。员工应该明白,访问信息是一种特权,并且应随时进行”需要了解”的访问。必须非常严肃地对待组织外部的敏感数据共享,员工应了解组织保护信息的政策。
4. 勒索软件 – 勒索软件是恶意软件,加密计算机上的数据,直到一笔钱支付给黑客,它是全球最流行的针对企业的威胁之一。 如果不支付赎金,您的计算机及其所有数据将无法恢复。 防御勒索软件的最佳方法是首先防止它发生。
阿尔·马塞拉博士 – CISAM,CISA,业务自动化顾问总裁
数据是一种资产 ,对公司有价值。 需要培训员工将数据视为必须保护的重要企业资产。
网络风险。 寻求未经授权访问公司关键数据资产的威胁行为者是谁? 威胁行为者可以利用公司内部的漏洞是什么? 威胁行为者利用漏洞的可能性是什么? 如果发生这种情况,对组织(财务、法律、声誉)有何影响? 每个员工在降低这些网络风险方面的作用是什么?
网络安全。 因此,员工只能通过虚拟专用网络服务连接到互联网和公司网络,从而保持员工交流的私密性。
加密。 教育员工实施并持续使用强加密协议以保护关键、组织的数字数据资产。
网络嬉皮士。 关于日益复杂的诈骗、网络钓鱼攻击、社会工程策略、虚假电子邮件和诱人网站的一致培训和更新信息…所有旨在引诱员工披露、点击、采取行动或回应虚构、精心策划和欺骗性信息。
大卫·施里尔 – 牛津大学牛津网络期货 项目总监与万事达卡合作
员工需要接受网络卫生核心培训,并提高对数据安全和隐私以及网络道德等更广泛的问题的认识,所有这些都为企业带来风险和机会。 例如,牛津网络期货首先建立了强大的网络基础,然后扩展到数字身份、预测人工智能、开放银行和其他增长领域。
企业要有效地在网络领域进行协作,需要在组织的所有职能领域(而不仅仅是 IT 员工)建立网络能力。
通常,网络在教学方式上是难以理解或可怕的,因此,在牛津大学的课程中,我们试图揭开复杂性的神秘面纱,并帮助商业专业人士了解对收入和利润产生实际影响的可能性。
海因里希·朗 –恢复隐私的隐私专家
在员工网络安全培训方面,我强烈建议使用专业的第三方培训提供商。 如果您找不到适合公司的建议,那么涵盖以下主题非常重要:
1) 识别您的业务的潜在在线威胁和风险。
2) 防止数据泄露所需的流程和工具,包括文档管理、密码和安全卫生。
3) 安全使用互联网以及如何识别可疑链接。
4) 安全使用电子邮件以及如何避免网络钓鱼。
5) 负责任地使用社交媒体。
6) 保护公司硬件,如笔记本电脑、台式机和手持设备。
重要的是要授权您的员工识别常见的网络威胁,并为他们提供防止数据泄露的工具
培养网络安全意识和最佳实践文化
安德鲁·瑞安 –纽特克服务公司创始人兼首席执行官
在 Newtec 服务公司,我们考虑为希望保护其数据安全的企业提供防病毒或反恶意软件软件第一步。 管理者还必须采取以下预防措施:
- 确保他们所有的软件都是最新的。 我们向客户推荐基于云的安全性。
- 实施端到端安全。 这意味着确保所有数据(包括消息、视频等)都完全加密。
- 培训员工以跟上更严格的安全要求。 超越内部安全政策,对员工进行针对每个员工角色的深入安全培训。
基本的远程工人技术堆栈需要包括这些东西,以提高安全性:
- 端点安全性
- 虚拟专用网络
- 移动安全
史蒂夫·切尔基安 – XYPRO首席信息安全官,
要使网络安全计划取得成功,以下是关键组件
- 自上而下的支持。 如果该倡议不重要,在组织最高层得到支持,它最终注定要失败。 网络安全意识不再只是”IT问题”。 这是一个商业风险,需要这样对待。
- 让员工参与进来。 赋予他们流程的所有权。 使其成为解决方案的一部分。 员工总是更好的参与和支持主动性,如果他们觉得他们有皮肤在游戏中。
- 游戏化过程。 让它变得有趣。 每个人都喜欢竞争,一个健康的过程来游戏化的经验将确保你得到大多数人的参与 -即使是反对者。
大卫 B. 圆 –网络效果首席执行官
网络安全意识是目前一个重要的话题。 如何确保您的员工了解网络? 它从顶部开始,就像公司拥有的任何其他政策或流程一样。 应提高行政一级的安全意识和重点。
在与所有员工的对话中,应阐明这些顾虑,直到最基本的员工仅使用电子邮件系统或访问一家公司应用程序。 这是所有公司文化的基础。
您还需要有一个培训计划。 无论是知识渊博的员工或人力资源部门内部交付的东西,还是更好的是企业可以找到网络安全意识计划。 外面有很多。 有些用户的价格和每个用户每月几美元一样便宜。
这些程序可以包括短短的 2-5 分钟”微型培训”、模拟电子邮件网络钓鱼尝试,甚至跟踪员工网络安全意识和公司政策确认监控,以了解任何公司政策。
它也可以是有趣的! 某些系统显示匿名安全分数,员工可以竞争,看看谁是最高的。
克洛·梅斯达吉 –第3点安全战略副总裁
网络钓鱼是一个很好的最佳做法。 我坚信确保人们知道什么是网络钓鱼, 以及如何留意它。 让某人进行网络钓鱼测试。 您可以聘请一些公司来帮助解决此问题,并帮助实施网络安全培训和意识计划。
我建议全年对您的团队进行网络钓鱼,并让您的队友做同样的事情,例如设置一个假角色:电子邮件帐户,是在你的老板的名字(当然有许可!
许多人认为实施安全实践是一项许多工作。 事实是,如果攻击者可以只接触您的一名员工,他们可以访问您的操作和机密信息,因此,为了避免潜在的灾难,可能需要进行大量的工作。
确保您的员工最充分地了解这一点。 像游戏一样进行网络钓鱼测试,让员工参与”游戏”,同时仍然强化了不仅作为个人,而且作为整个公司的潜在脆弱部分,提高意识和保持安全的重要性。
完成
如果您没有被上述专家的所有建议和见解淹没,下面是每个员工和组织为了良好的网络安全实践而应遵循的提示简明陈述:
保罗·霍华德 –史密斯培训中心和史密斯
保持办公桌清洁;不要使用您的个人设备进行业务;管理您的数据;使用外部存储解决方案;练习安全的互联网习惯;对您的密码要非常谨慎;限制您在社交网络网站上分享的量,并注意其漏洞;小心电子邮件诈骗;了解什么是恶意软件;最后,如果您质疑一些似乎不合时宜的问题,请始终从IT专家处获得专家建议。
