網(wǎng)絡(luò )安全意識培訓的重要性已經(jīng)無(wú)需多言，但是很多企業(yè)在實(shí)踐中面臨兩難境地，力度小了員工敷衍了事，而力度大了，如果方式不對，有時(shí)候也會(huì )起到反作用，甚至會(huì )讓安全意識培訓在企業(yè)內部落下“不講武德”的壞名聲。

例如，在今年早些時(shí)候，報業(yè)巨頭Tribune Publishing向員工發(fā)送了網(wǎng)絡(luò )釣魚(yú)模擬測試郵件，“恭喜”員工獲得5000-10000美元的年終獎，需要登錄查看。結果點(diǎn)擊鏈接的員工立刻收到了參加計算機安全培訓計劃的通知。這次網(wǎng)絡(luò )釣魚(yú)測試最終引發(fā)了眾怒，因為T(mén)ribune Publishing測試前剛剛解雇了大批員工，釣魚(yú)郵件測試無(wú)疑是在員工的心靈創(chuàng )傷上撒了一把鹽。

電子郵件服務(wù)公司TheXYZ的創(chuàng )始人佩里·托內(Perry Toone)說(shuō)，對員工實(shí)施網(wǎng)絡(luò )釣魚(yú)測試導致類(lèi)似的災難性結果并不罕見(jiàn)，甚至很多企業(yè)因此放棄了這一方法。

他說(shuō)：“我們創(chuàng )建了一個(gè)虛假的釣魚(yú)網(wǎng)站，并誘惑員工單擊電子郵件中的鏈接。事實(shí)證明，這不是一個(gè)好主意。許多員工嚇壞了，以為自己真被黑客入侵了。”

那么網(wǎng)絡(luò )安全意識培訓有沒(méi)有更好的，讓員工“印象深刻”同時(shí)又有參與積極性的方法呢?以下是多位網(wǎng)絡(luò )安全專(zhuān)家給出的八大建議：

游戲化

Auth0安全與合規高級總監Duncan Godfrey表示，人們喜歡邊做邊學(xué)，安全部門(mén)需要創(chuàng )造既促進(jìn)教育又激發(fā)興奮的挑戰。

例如，內部漏洞搜尋不僅鼓勵員工安全發(fā)現并報告漏洞，而且還可以識別公司基礎架構中的威脅和嚴重錯誤。

Godfrey說(shuō)：“這一挑戰促進(jìn)了員工之間的健康競爭，并在我們的日常工作中引入了令人興奮但又富有成效的使命。發(fā)現嚴重漏洞的任何員工都會(huì )獲得公司內部的名人堂榮譽(yù)以及Auth0贓物獎。”

第二個(gè)挑戰是網(wǎng)上誘騙：要求員工“像黑客一樣思考”，并嘗試詐騙Auth0的網(wǎng)絡(luò )安全文化經(jīng)理。

Godfrey說(shuō)：“這項以受控和安全的方式進(jìn)行的挑戰為我們的員工帶來(lái)了一項有趣的任務(wù)，使他們能夠更好地了解安全人員日常防御的各種攻擊類(lèi)型。”

將安全意識培訓整合到入職流程

S3 Consulting的首席執行官兼創(chuàng )始人Johanna Baum說(shuō)，在新員工入職的過(guò)程中，他們就應該接受一些意識培訓。

她說(shuō)：“在S3中，一旦通過(guò)入職頒發(fā)證書(shū)即可接受安全意識培訓，包括每個(gè)客戶(hù)都必須參加。如果沒(méi)有成功完成，他們將無(wú)法完成入職流程或某些資產(chǎn)的分配。”

鼓勵員工提交錯誤報告

電子郵件安全公司Tessian的首席執行官兼聯(lián)合創(chuàng )始人Tim Sadler說(shuō)，每個(gè)人都會(huì )犯錯，“但是人們控制的敏感數據比以往任何時(shí)候都要多，例如客戶(hù)，財務(wù)和員工信息。這意味著(zhù)即使是最小的錯誤，如意外將電子郵件發(fā)給錯誤的收件人，都可能會(huì )嚴重損害公司的聲譽(yù)。”

Sadler提倡通過(guò)鼓勵員工提交錯誤報告來(lái)使安全意識更加普及。

他說(shuō)：“公司需要建立一種安全文化，以鼓勵員工向IT部門(mén)報告錯誤。否則，這些錯誤將繼續發(fā)生，而且無(wú)法了解它們的發(fā)生方式或原因。”

基于角色和年齡的針對性安全意識培訓

網(wǎng)絡(luò )安全培訓公司Cybrary內容運營(yíng)主管Will Carlson說(shuō)，為了使安全意識盡可能成功，安全領(lǐng)導者需要確保意識培訓項目對于最終用戶(hù)而言是可行的和有針對性的。

他建議根據最終用戶(hù)在公司中的角色，提供定期的 “有的放矢的意識培訓”。

Sadler還認為，組織還需要針對不同年齡量身定制安全培訓內容。

他說(shuō)：“例如，我們的數據表明，在工作中受到尊重對老一輩很重要，因此他們可能更不愿承認自己犯了一個(gè)錯誤，因為他們不想丟臉。另一方面，年輕的員工對尋求知識更感興趣，因此我們應該向他們傳授黑客用來(lái)針對他們的技術(shù)，以便他們知道該怎么辦。”

利用多種媒介

IT和管理服務(wù)公司Carousel Industries的CSO和CIO Jason Albuquerque指出，企業(yè)應當采用“全渠道交付”系統來(lái)提高網(wǎng)絡(luò )安全意識和教育水平。

他說(shuō)：“我們現在向所有員工每月發(fā)布兩次網(wǎng)絡(luò )安全公告。“所有內容都基于易于理解和具有教育意義的現代通信媒體(包括短視頻、行業(yè)文章、電子郵件、Microsoft Teams消息等)。

Albuquerque表示，他還計劃通過(guò)使用呼叫中心技術(shù)、知識庫和人工智能將內容分發(fā)渠道擴展為包括SMS消息，從而使安全意識信息傳播更快，更具針對性。

將安全培訓“嵌入”軟件開(kāi)發(fā)流程和文化中

DevSecOps是一開(kāi)始就將安全性嵌入軟件設計中的文化，在許多組織中廣為流行。但是，即使您還沒(méi)有實(shí)施DevSecOps，也要考慮對開(kāi)發(fā)人員進(jìn)行安全意識方面的培訓。

Checkmarx應用程序安全全球總監Matthew Rose說(shuō)：“安全意識培訓應該是DevOps的內在組成，而不是額外的單獨任務(wù)。開(kāi)發(fā)人員喜歡留在自己喜歡的環(huán)境中，如果培訓使他們脫離了這種環(huán)境，他們會(huì )認為這是繁重而令人沮喪的，而不是信息豐富和具有激勵性的活動(dòng)。”

Kenna Security的安全和合規經(jīng)理Jerry Gamblin表示：“企業(yè)應該花時(shí)間建設安全中心內容，在其DevOps團隊中培養安全知識“部落”，其中包括專(zhuān)門(mén)的語(yǔ)言安全培訓、支付安全會(huì )議費用或提供與安全DevOps和編碼有關(guān)的書(shū)籍的安全庫。”

安全意識帶回家

如今，遠程辦公已經(jīng)成為一種新常態(tài)，這意味著(zhù)員工家庭其他成員可能正在使用同一路由器訪(fǎng)問(wèn)工作和學(xué)校。

Home Access Health Corp.信息技術(shù)副總裁兼安全官，ISACA董事會(huì )主席Pam Nigro表示：“鑒于這一現實(shí)，我認為讓員工的全部家人參與網(wǎng)絡(luò )安全意識培訓非常重要。”

Nigro的團隊創(chuàng )建了簡(jiǎn)單的安全意識消息，供父母與孩子分享，這是教育所有人的努力的一部分。

基于云的軟件提供商Datto的信息安全總監Chris Henderson表示，他還在努力幫助遠程員工改善安全狀況。

他說(shuō)：“ Datto還一直在為員工提供其家庭安全狀況的評估，為他們提供保護路由器和端點(diǎn)的幫助，以確保我們新的遠程環(huán)境不會(huì )遭受攻擊。”

尋找部門(mén)級的安全意識“二班長(cháng)”

安全公司Cyphere的常務(wù)顧問(wèn)和專(zhuān)業(yè)服務(wù)總監Harman Singh建議，安全團隊需要有意識地去“籠絡(luò )”那些熱情主動(dòng)的員工，這將有助于安全團隊傳播安全意識信息。

他說(shuō)：“就像在辦公室進(jìn)行演習一樣，從每個(gè)部門(mén)選擇和培訓安全意識“二班長(cháng)”，可以與他們聯(lián)系以幫助隊友確保更快的反應。這是內部更有效的社交工具。”

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng )文章，轉載請通過(guò)安全牛（微信公眾號id:gooann-sectv）獲取授權】