网络安全的 10 个步骤之安全培训
协作构建适用于组织中人员的安全性。
人应该是任何网络安全战略的核心。
良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作。人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提是他们参与得当,并且有一种鼓励他们畅所欲言的积极网络安全文化。支持员工获得安全工作所需的技能和知识通常是通过意识或培训的方式来完成的。这不仅有助于保护组织,还表明重视员工,并认识到他们对业务的重要性。
有什么好处?
增加对组织的信任和忠诚度
更早地发现那些通常不被技术发现的事件
一个让个人感到安全(并被鼓励提早提出问题和提出新想法)的环境将使组织更有效
该怎么办?
鼓励高层领导以身作则
鼓励高层领导在网络安全方面定下基调。如果高层领导无视安全政策和流程,或以某种方式要求“特殊待遇”(例如要求使用与标准发布的设备不同的设备),则会向组织中的其他所有人发出信号,即高层不考虑规则适合目的,并且员工尝试绕过政策是可以接受的。
与员工建立有效的对话
与员工交谈,了解他们的日常工作涉及的内容,并尝试了解他们的观点、工作流程和压力,以了解执行某些活动可能存在哪些障碍。只有了解和理解可能阻止人们遵循安全程序和实践的因素,才能消除障碍。从这些知识中学习以帮助改进系统并确保人们能够有效地完成他们的工作。
确保了解当地工作环境的人员参与安全政策制定。确保政策和流程符合目的且相称,并为人们提供途径来挑战在实践中对他们不起作用的流程。众所周知,那些让人们对挑战工作方式感到安全的组织更具创新性,并且能够更好地应对意外情况。
建立可以在组织内报告问题的流程,并确保人们知道这些流程是什么,并鼓励人们报告问题。通过倾听报告的问题,以公平的方式积极回应,然后让员工参与纠正问题的过程,在组织内建立信任。许多事件只能被人们发现,如果他们觉得自己信任组织,那么他们更有可能在怀疑出现问题时进行报告。及早发现事件对于限制影响至关重要。
不要对错误进行污名化,防止个人或团队被挑出来责备;这将使人们在未来不那么不愿意报告事件。任何安全事件都应被视为个人和组织自我提升的机会。
考虑开展安全意识活动
承认宣传活动的有效性可能需要时间。在分析任何意识工作的影响之前,留出足够的时间。
确保信息与员工相关并适合组织。传达不相关、无法实现或对他们的工作方式产生负面影响的信息不会产生预期的结果,并且可能会产生负面影响,因为它表明对员工的需求缺乏了解。如果人们不得不为安全流程和控制找到变通办法来完成他们的工作,那么他们可能已经知道他们正在违反规则,如果不解决根本问题,更多的意识将无济于事。
关注关于员工可以做什么来提供帮助的积极信息,而不仅仅是他们做他们不应该做的事情的后果。使用恐惧或专注于威胁来激励员工行为并不能很好地发挥作用,实际上它会产生相反的效果,让人们感到不参与。
了解意识只是第一步。仅仅因为让人们意识到风险以及如何应对,并不意味着他们会执行这些行为,或者能够执行这些行为。这可能需要更多的工作来了解任何技术或文化障碍,并可能需要开发适用于组织的替代解决方案。
确保高层领导参与宣传活动。如果很明显他们没有遵循信息(通过他们的行动或其他方式),那么这将很快破坏活动的有效性。
量身定制网络安全培训以满足组织需求
在开发或采购任何培训解决方案之前,了解并优先考虑组织中个人所需的网络安全知识和行为。如果正在考虑购买“现成的”培训,请确保它满足组织要求,并且与组织的技术安全控制措施配合良好。
向员工强调培训的好处,明确培训将如何不仅对他们有帮助,而且对整个组织也有帮助。这将有助于向员工表明他们受到组织的重视,从而建立忠诚感。关心他们工作的组织的员工更有可能希望帮助其实现目标,从安全角度来看,这可能会成为现实,例如,员工想要报告他们为了工作而必须采取的必要安全措施完毕。
以小的、频繁的块提供培训。一致的小信息比一年一次的一小时会议更容易消化和更有效。听取员工提供的关于近期培训计划的反馈,并利用这些信息来调整未来的计划。
避免重复,年复一年使用相同的培训视频会导致员工认为培训没有得到重视。如果员工认为前辈没有考虑到培训,那么参与的人就不会得到充分的投入。
确保培训师对该主题有足够的了解,并能将其与学员的日常工作联系起来。如果学员认为他们比培训师了解的更多(或认为他们脱节),他们会质疑培训的重要性以及为什么他们不能找到更合适的人来做这件事。考虑请高级管理层支持培训。
转载:河南公安机关“净网2021”专项行动取得阶段性显著成效