贵组织是否认真对待安全问题?您的用户是否知道如何抵御社会工程攻击?贵组织的便携式设备是否启用了数据加密?如果您对这些问题中的任何一个回答“否”或“我不知道”,那么您的组织就无法提供良好的安全意识培训。
维基百科将安全意识定义为组织成员在保护组织的物理和信息资产方面拥有的知识和态度。
简而言之:松散的嘴唇沉没船只。这就是安全意识的全部要点,查理布朗。
如果您负责组织的信息资产,那么您一定要制定并实施安全意识培训计划。我们的目标应该是让您的员工意识到世界上有一些想要窃取信息并损害组织资源的坏人。
良好的安全意识培训计划将为您组织的数据和资源的所有权灌输一种自豪感。员工将威胁其组织视为对其生计的威胁。一个糟糕的安全意识培训计划将使人们变得偏执和怨恨。
让我们看一下创建有效的安全意识培训计划的一些技巧:
教育用户他们可能遇到的真实威胁的类型
安全意识培训应包括向用户介绍安全概念,例如识别社会工程攻击,恶意软件攻击,网络钓鱼策略以及他们可能遇到的其他类型的威胁。查看我们的Fight Cybercrime页面,查看网络犯罪威胁和技术列表。
教失密码构造的艺术
虽然我们中的许多人都知道如何创建一个强密码,但仍然有很多人没有意识到破解弱密码是多么容易。解释密码破解的过程以及脱机破解工具(如使用Rainbow Tables的工具)的工作原理。他们可能无法理解所有技术细节,但他们至少会看到破解构造不良的密码是多么容易,这可能会激发他们在创建新密码时更具创造性。
专注于信息保护
许多公司告诉员工在午餐时不要讨论公司业务,因为你从不知道谁可能在听,但他们并不总是告诉他们在社交媒体网站上看他们说什么。如果您的隐私设置过于宽松,那么您可能会看到自己的状态发布的竞争对手的简单Facebook状态更新,即您正在处理的产品是多么疯狂。教你的员工松散的推文和状态更新也会沉没船只。
竞争对手公司可能会寻找社交媒体,寻找竞争对手的员工,以获得产品智能的优势,谁在做什么等等。
社交媒体在商业世界中仍然是一个相对较新的前沿,许多安全管理人员正在努力处理它。在公司防火墙上阻止它的日子已经结束了。社交媒体现在已成为许多公司商业模式中不可或缺的一部分。教育用户他们应该和不应该在Facebook,Twitter,LinkedIn和其他社交媒体网站上发布什么。
备份您的规则与潜在的后果
没有牙齿的安全政策对您的组织没有任何价值。获得管理层支持并为用户操作或不作为创建明确的后果。用户需要知道他们有责任保护他们拥有的信息,并尽最大努力保护信息免受伤害。
让他们意识到泄露敏感和/或专有信息,篡改公司资源等会产生民事和刑事后果。
不要重新发明轮子
您不必从头开始。美国国家标准与技术研究院(NIST)从字面上写了关于如何开发安全意识培训计划的书,最重要的是,它是免费的。下载NIST的特刊800-50 - 建立信息技术安全意识和培训计划,学习如何制作自己的。
