网络安全的 10 个步骤之安全培训

协作构建适用于组织中人员的安全性。

人应该是任何网络安全战略的核心。

良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作。人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提是他们参与得当,并且有一种鼓励他们畅所欲言的积极网络安全文化。支持员工获得安全工作所需的技能和知识通常是通过意识或培训的方式来完成的。这不仅有助于保护组织,还表明重视员工,并认识到他们对业务的重要性。


有什么好处?

  1. 增加对组织的信任和忠诚度

  2. 更早地发现那些通常不被技术发现的事件

  3. 一个让个人感到安全(并被鼓励提早提出问题和提出新想法)的环境将使组织更有效

该怎么办?

鼓励高层领导以身作则

  • 鼓励高层领导在网络安全方面定下基调。如果高层领导无视安全政策和流程,或以某种方式要求“特殊待遇”(例如要求使用与标准发布的设备不同的设备),则会向组织中的其他所有人发出信号,即高层不考虑规则适合目的,并且员工尝试绕过政策是可以接受的。

与员工建立有效的对话

  • 与员工交谈,了解他们的日常工作涉及的内容,并尝试了解他们的观点、工作流程和压力,以了解执行某些活动可能存在哪些障碍。只有了解和理解可能阻止人们遵循安全程序和实践的因素,才能消除障碍。从这些知识中学习以帮助改进系统并确保人们能够有效地完成他们的工作。

  • 确保了解当地工作环境的人员参与安全政策制定。确保政策和流程符合目的且相称,并为人们提供途径来挑战在实践中对他们不起作用的流程。众所周知,那些让人们对挑战工作方式感到安全的组织更具创新性,并且能够更好地应对意外情况。

  • 建立可以在组织内报告问题的流程,并确保人们知道这些流程是什么,并鼓励人们报告问题。通过倾听报告的问题,以公平的方式积极回应,然后让员工参与纠正问题的过程,在组织内建立信任。许多事件只能被人们发现,如果他们觉得自己信任组织,那么他们更有可能在怀疑出现问题时进行报告。及早发现事件对于限制影响至关重要。

  • 不要对错误进行污名化,防止个人或团队被挑出来责备;这将使人们在未来不那么不愿意报告事件。任何安全事件都应被视为个人和组织自我提升的机会。

考虑开展安全意识活动

  • 承认宣传活动的有效性可能需要时间。在分析任何意识工作的影响之前,留出足够的时间。

  • 确保信息与员工相关并适合组织。传达不相关、无法实现或对他们的工作方式产生负面影响的信息不会产生预期的结果,并且可能会产生负面影响,因为它表明对员工的需求缺乏了解。如果人们不得不为安全流程和控制找到变通办法来完成他们的工作,那么他们可能已经知道他们正在违反规则,如果不解决根本问题,更多的意识将无济于事。

  • 关注关于员工可以做什么来提供帮助的积极信息,而不仅仅是他们做他们不应该做的事情的后果。使用恐惧或专注于威胁来激励员工行为并不能很好地发挥作用,实际上它会产生相反的效果,让人们感到不参与。

  • 了解意识只是第一步。仅仅因为让人们意识到风险以及如何应对,并不意味着他们会执行这些行为,或者能够执行这些行为。这可能需要更多的工作来了解任何技术或文化障碍,并可能需要开发适用于组织的替代解决方案。

  • 确保高层领导参与宣传活动。如果很明显他们没有遵循信息(通过他们的行动或其他方式),那么这将很快破坏活动的有效性。

量身定制网络安全培训以满足组织需求

  • 在开发或采购任何培训解决方案之前,了解并优先考虑组织中个人所需的网络安全知识和行为。如果正在考虑购买“现成的”培训,请确保它满足组织要求,并且与组织的技术安全控制措施配合良好。

  • 向员工强调培训的好处,明确培训将如何不仅对他们有帮助,而且对整个组织也有帮助。这将有助于向员工表明他们受到组织的重视,从而建立忠诚感。关心他们工作的组织的员工更有可能希望帮助其实现目标,从安全角度来看,这可能会成为现实,例如,员工想要报告他们为了工作而必须采取的必要安全措施完毕。

  • 以小的、频繁的块提供培训。一致的小信息比一年一次的一小时会议更容易消化和更有效。听取员工提供的关于近期培训计划的反馈,并利用这些信息来调整未来的计划。

  • 避免重复,年复一年使用相同的培训视频会导致员工认为培训没有得到重视。如果员工认为前辈没有考虑到培训,那么参与的人就不会得到充分的投入。

  • 确保培训师对该主题有足够的了解,并能将其与学员的日常工作联系起来。如果学员认为他们比培训师了解的更多(或认为他们脱节),他们会质疑培训的重要性以及为什么他们不能找到更合适的人来做这件事。考虑请高级管理层支持培训。



2021年9月份恶意软件之“十恶不赦”排行榜

转载:河南省公安机关“净网2021”典型案例

转载:河南公安机关“净网2021”专项行动取得阶段性显著成效

法治日:网络安全法中你什么角色?应该履行什么义务呢?

网络安全宣传周校园日:守护网络安全,构建和谐校园

网安周今日开幕,网络安全有多重要?看总书记讲话就知道

网络安全的 10 个步骤之日志记录和监控分析

网络安全的 10 个步骤之架构和配置

网络安全的 10 个步骤之供应链安全

网络安全的 10 个步骤之数据安全

网络安全的10个步骤之事件管理

网络安全的 10 个步骤之身份鉴别和访问控制

网络安全的 10 个步骤之风险管理

网络安全的 10 个步骤之资产管理

网络安全的 10 个步骤之漏洞管理

网络安全等级保护:来一份定级指南思维导图学定级

网络安全等级保护:等级保护对象的定级过程

网络安全等级保护:等级保护对象的定级与保护

网络安全等级保护:等级保护中的密码技术

网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求

网络安全等级保护:政务计算机终端核心配置规范思维导图

网络安全等级保护:网络安全等级保护基本技术

(0)

相关推荐

  • 人力资源审计:实操指南

    你的团队是否定期进行人力资源审计?无效的 HR 流程.系统和政策可能会损害你的业务.如果不持续监控这些因素,企业可能会发现自己处于就业法的错误一边.比如,因为没有员工安全计划而面临严厉的处罚,进行人力 ...

  • 成功实施精益原则的12个步骤

    成功实施精益原则的12个步骤

  • 无意识 不安全

    员工安全意识决定了企业安全最终能够达到的高度.没有员工安全意识的配合,一切安全技术措施的有效性都将大打折扣. 据 Proofpoint 最新发布的<2018年度人为因素报告>指出:组织和个 ...

  • 干货分享 | 通过标准引入最佳业务治理(网络安全篇)· 下

    BSI全新发布了<现代公司治理报告>,分析了三个需要考虑的业务关键问题,重点介绍了在增强长期组织生存力和保持高绩效方面最重要和最有用的标准. 在网络安全篇,在上篇我们介绍了组织的网络安全风 ...

  • 生产主管  威巴克(重庆)减震器有限公司

    岗位职责: 1.提高产品产量和质量. a.与工艺组不断改进工艺和流程,提高产量,降低不合格率: b.组织员工多技能培训,通过多技能工的培训,应对计划的不稳定性,提高产能: c.组织对不合格品缺陷的培训 ...

  • 信息安全意识教育计划应该包括什么内容?

    9月份,中国全国范围的网络安全周在全国搞得轰轰烈烈.不过除了充斥厂商的产品宣传,真正安全意识培训的内容却乏善可陈. 10月份,美国的安全意识月迎来了15第十个年头,通过各种形式提升全民的安全意识是其主 ...

  • 网络安全的 10 个步骤之风险管理

    首先再次祝大家国庆节快乐,假期收获满满! 采取基于风险的方法来保护数据和系统. 承担风险是做生意的自然组成部分.风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标.网 ...

  • 网络安全的 10 个步骤之资产管理

    了解管理哪些数据和系统,以及它们支持哪些业务需求. 资产管理包括建立和维护资产所需知识的方式.随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解.事件的发生可能是由于没有完全了解 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • 网络安全的 10 个步骤之数据安全

    保护易受攻击的数据. 需要保护数据免遭未经授权的访问.修改或删除.涉及确保数据在传输.静止和寿命结束时受到保护(即,在使用后有效地消除或销毁存储介质).在许多情况下,数据不受组织直接控制,因此考虑可以 ...

  • 网络安全的10个步骤之事件管理

    提前计划对网络事件的响应. 事件可能对组织的成本.生产力和声誉产生巨大影响.但是,良好的事件管理会在事件发生时减少影响.能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响.在媒体聚光灯 ...

  • 网络安全的 10 个步骤之供应链安全

    与供应商和合作伙伴协作. 大多数组织依靠供应商来交付产品.系统和服务.对供应商的攻击可能与直接针对自己的组织的攻击一样造成损害.供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能在其中的任 ...

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 网络安全的 10 个步骤之日志记录和监控分析

    设计系统,使其能够检测和调查事件. 收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础.如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响.安 ...