企業(yè)內(nèi)部的任何倡議都需要跨部門或團(tuán)隊(duì)的利益相關(guān)者的廣泛支持才能取得成功��。NINJIO公司的CEO Shaun McAlmont為此強(qiáng)調(diào)���,網(wǎng)絡(luò)安全意識(shí)培訓(xùn)項(xiàng)目尤其如此,因?yàn)槠髽I(yè)中的每一個(gè)人都是潛在的安全漏洞�。
82%以上的網(wǎng)絡(luò)攻擊都?xì)w咎于人為錯(cuò)誤,內(nèi)部人員的錯(cuò)誤為網(wǎng)絡(luò)攻擊者提供了更多成功的機(jī)會(huì)����,他們所犯的錯(cuò)誤可以在企業(yè)的業(yè)務(wù)安全與災(zāi)難之間產(chǎn)生巨大的差異。因此��,企業(yè)中的每個(gè)人都需要理解并接受這個(gè)現(xiàn)實(shí)��。
(資料圖)
與所有非技術(shù)性的挑戰(zhàn)一樣�,不同的方法將適用于不同的利益相關(guān)者�����。對(duì)于專注于資源分配的企業(yè)高管來(lái)說�����,除了為網(wǎng)絡(luò)安全意識(shí)培訓(xùn)項(xiàng)目的成功編制明確的關(guān)鍵績(jī)效指標(biāo)之外,將網(wǎng)絡(luò)攻擊的破壞能力與網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的成本效益進(jìn)行比較也是很重要的��。
對(duì)于更廣泛的員工隊(duì)伍��,首席信息安全官和團(tuán)隊(duì)領(lǐng)導(dǎo)者可以闡明網(wǎng)絡(luò)安全意識(shí)的價(jià)值�,并指出這是一個(gè)專業(yè)發(fā)展機(jī)會(huì),也是一種展示員工如何維護(hù)企業(yè)安全來(lái)增強(qiáng)自身能力的方式���。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)旨在確保長(zhǎng)期的行為改變��,這意味著為所有利益相關(guān)者提供正確的激勵(lì)�����。
由于網(wǎng)絡(luò)安全涉及到每個(gè)人工作的更多方面�,擁有一個(gè)知道如何建立和維護(hù)利益相關(guān)者對(duì)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃支持的安全領(lǐng)導(dǎo)團(tuán)隊(duì)至關(guān)重要����。更重要的是,人們親眼目睹了企業(yè)獲得的一些成功�����,這些企業(yè)的思維從把網(wǎng)絡(luò)安全意識(shí)培訓(xùn)作為IT孤島中的事物轉(zhuǎn)變?yōu)閷⑵湟暈槲幕暮诵某煞帧U_了解網(wǎng)絡(luò)安全的定位是至關(guān)重要的�,鼓勵(lì)那些積極通過定期培訓(xùn)來(lái)降低風(fēng)險(xiǎn)的人員,首席信息安全官需要有直接的洞察力和指標(biāo)來(lái)跟蹤員工在網(wǎng)絡(luò)安全培訓(xùn)方面的進(jìn)展����。
為網(wǎng)絡(luò)安全意識(shí)辯護(hù)的財(cái)務(wù)理由
隨著企業(yè)增加對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的投資,有必要為網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的采用和遵守提出清晰而令人信服的理由����。要做到這一點(diǎn),最可靠的方法之一是強(qiáng)調(diào)網(wǎng)絡(luò)攻擊將會(huì)為企業(yè)帶來(lái)慘重的損失��。根據(jù)IBM公司發(fā)布的一份研究報(bào)告����,全球各地的企業(yè)在2022年遭遇數(shù)據(jù)泄露事件造成的損失達(dá)到了平均435萬(wàn)美元,并創(chuàng)歷史新高���。在美國(guó)�����,這一數(shù)字高達(dá)944萬(wàn)美元���,是世界各國(guó)中最高的。在IBM公司的調(diào)查中��,83%的企業(yè)表示他們以前曾經(jīng)遭到網(wǎng)絡(luò)攻擊��。
一些代價(jià)最高和最常利用的攻擊載體直接涉及員工:典型的網(wǎng)絡(luò)釣魚攻擊在2022年造成了平均491萬(wàn)美元的經(jīng)濟(jì)損失��,被盜或受損憑證的網(wǎng)絡(luò)攻擊造成的損失平均達(dá)到450萬(wàn)美元���。
對(duì)于企業(yè)來(lái)說���,阻止這些網(wǎng)絡(luò)攻擊的培訓(xùn)成本相對(duì)便宜,只要具有網(wǎng)絡(luò)安全意識(shí)的員工阻止一次網(wǎng)絡(luò)攻擊就會(huì)帶來(lái)積極的投資回報(bào)��。根據(jù)IBM公司的調(diào)查����,對(duì)于擁有網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃的企業(yè)來(lái)說,遭到網(wǎng)絡(luò)攻擊造成的財(cái)務(wù)影響不那么嚴(yán)重���。
網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的實(shí)踐案例
網(wǎng)絡(luò)攻擊對(duì)企業(yè)造成的損失不僅僅是經(jīng)濟(jì)上的��。IBM公司在調(diào)查中還發(fā)現(xiàn)����,識(shí)別和遏制網(wǎng)絡(luò)攻擊需要一段時(shí)間:發(fā)現(xiàn)漏洞平均需要207天,修補(bǔ)漏洞需要70天�����。運(yùn)營(yíng)部門主管很容易地理解在七個(gè)月的時(shí)間里可能會(huì)丟失多少敏感數(shù)據(jù)��,多花兩個(gè)多月的時(shí)間和費(fèi)用修補(bǔ)漏洞��,也將影響企業(yè)的業(yè)務(wù)����。
更重要的是,企業(yè)在遭到網(wǎng)絡(luò)攻擊之后可能面臨嚴(yán)重的聲譽(yù)損失��。用戶關(guān)心個(gè)人信息安全�����,這也延伸到了他們與企業(yè)的互動(dòng)方式��。Arcserve公司日前發(fā)布的一份調(diào)查報(bào)告發(fā)現(xiàn)��,59%的消費(fèi)者表示他們會(huì)避免與在過去一年中經(jīng)歷過網(wǎng)絡(luò)攻擊的企業(yè)合作����,光是這個(gè)數(shù)字就足以讓企業(yè)的首席營(yíng)銷官和銷售主管相信網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是值得的����。
這些都是企業(yè)建立一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃的令人信服的理由���,尤其是在企業(yè)面臨經(jīng)濟(jì)逆境時(shí),他們?cè)絹?lái)越關(guān)注網(wǎng)絡(luò)攻擊帶來(lái)的損失����。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)不僅可以幫助企業(yè)避免網(wǎng)絡(luò)攻擊造成的毀滅性損失,還可以防止消費(fèi)者由于企業(yè)遭到網(wǎng)絡(luò)攻擊而失去信任����,并確保員工能夠適應(yīng)不斷變化的網(wǎng)絡(luò)威脅形勢(shì)。
在企業(yè)內(nèi)部獲得利益相關(guān)者的支持
即使企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)支持網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃�����,仍然需要獲得員工的大力支持���。很多人對(duì)網(wǎng)絡(luò)安全最普遍的誤解是��,確保網(wǎng)絡(luò)安全完全是IT團(tuán)隊(duì)和安全團(tuán)隊(duì)的責(zé)任�����,這些團(tuán)隊(duì)擁有許多員工不具備的特定技術(shù)�。這種誤解導(dǎo)致一些員工有一種無(wú)力感,他們覺得自己受網(wǎng)絡(luò)罪犯擺布����,而并不認(rèn)為保護(hù)自己的信息安全也是他們的責(zé)任。
犯這種錯(cuò)誤的不僅僅是員工�����,部門經(jīng)理和企業(yè)高管也經(jīng)常堅(jiān)持認(rèn)為網(wǎng)絡(luò)安全超出了他們的范圍�,這意味著他們同時(shí)增加了自己被黑客攻擊的幾率,并為團(tuán)隊(duì)成員樹立了一個(gè)不良的榜樣�����。
任何網(wǎng)絡(luò)安全意識(shí)培訓(xùn)項(xiàng)目的首要任務(wù)都是消除這些幻想�����,向企業(yè)的每個(gè)人展示他們不僅有能力防止網(wǎng)絡(luò)攻擊���,而且有責(zé)任這樣做��。但這種策略不能以無(wú)聊的講座���、PowerPoint演示文稿或大量電子郵件的形式表現(xiàn)出來(lái)�����。讓員工加入企業(yè)的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃的唯一方法是讓他們充分投入到學(xué)習(xí)過程中,通過高度參與以及培訓(xùn)相關(guān)內(nèi)容���,確?��?沙掷m(xù)的行為改變。
當(dāng)涉及到網(wǎng)絡(luò)安全意識(shí)培訓(xùn)課程時(shí)���,有幾種方法來(lái)理解“相關(guān)性”����。首先��,培訓(xùn)內(nèi)容應(yīng)該基于真實(shí)世界的網(wǎng)絡(luò)攻擊和阻止網(wǎng)絡(luò)攻擊的策略��。其次����,在員工獨(dú)特技能和學(xué)習(xí)風(fēng)格的基礎(chǔ)上實(shí)現(xiàn)個(gè)性化�����。第三��,應(yīng)該使用講故事和游戲化等策略�����,這將給員工關(guān)注的理由�。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)就是要提供正確的激勵(lì)措施來(lái)保持參與度��,而且這些激勵(lì)措施必須在企業(yè)內(nèi)部具有說服力����。
構(gòu)建網(wǎng)絡(luò)安全文化
有效的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃的最終目標(biāo)是使網(wǎng)絡(luò)安全成為從上到下的企業(yè)文化的一部分。網(wǎng)絡(luò)安全意識(shí)不應(yīng)該只是員工�����、部門經(jīng)理和企業(yè)領(lǐng)導(dǎo)者在參與網(wǎng)絡(luò)安全意識(shí)培訓(xùn)內(nèi)容或明確討論工作場(chǎng)所的網(wǎng)絡(luò)安全時(shí)才考慮的事情�����。應(yīng)該告知他們所做的一切,從他們?nèi)绾问褂脭?shù)字資源到如何與同事溝通和合作�����。
廣泛的利益相關(guān)者支持是創(chuàng)建網(wǎng)絡(luò)安全文化的先決條件����,因?yàn)檫@一過程需要企業(yè)中每個(gè)人的持續(xù)承諾。這就是強(qiáng)有力的激勵(lì)至關(guān)重要的地方�。提高敬業(yè)度和保留率的最佳方法之一是打開一個(gè)新的窗口,也就是向員工展示企業(yè)及其領(lǐng)導(dǎo)層關(guān)心他們個(gè)人的職業(yè)發(fā)展���,提供機(jī)會(huì)培養(yǎng)他們的網(wǎng)絡(luò)安全意識(shí)就是其中一種方法。還可以通過鼓勵(lì)和獎(jiǎng)勵(lì)健康行為來(lái)幫助企業(yè)關(guān)注問責(zé)制�。企業(yè)可以使用許多工具來(lái)維持問責(zé)制,例如網(wǎng)絡(luò)釣魚測(cè)試和對(duì)員工優(yōu)勢(shì)和劣勢(shì)的個(gè)性化評(píng)估���,這些工具可以開辟關(guān)于改進(jìn)領(lǐng)域的溝通渠道���。
如今,網(wǎng)絡(luò)威脅在不斷發(fā)展����,因?yàn)楹诳驼诓粩嗟販y(cè)試企業(yè)的防御措施,并設(shè)計(jì)新的方法來(lái)利用漏洞。企業(yè)員工通過培訓(xùn)可以了解最新的網(wǎng)絡(luò)犯罪策略���,并利用這些知識(shí)來(lái)保護(hù)業(yè)務(wù)安全��。然而����,網(wǎng)絡(luò)犯罪分子仍然只需要一個(gè)單一的入口點(diǎn)就可以進(jìn)行網(wǎng)絡(luò)攻擊�����,這也讓企業(yè)清醒地認(rèn)識(shí)到�,實(shí)施網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃需要利益相關(guān)者的全面支持。
