企業(yè)內(nèi)部的任何倡議都需要跨部門或團(tuán)隊(duì)的利益相關(guān)者的廣泛支持才能取得成功。NINJIO公司的CEO Shaun McAlmont為此強(qiáng)調(diào)����,網(wǎng)絡(luò)安全意識培訓(xùn)項(xiàng)目尤其如此,因?yàn)槠髽I(yè)中的每一個(gè)人都是潛在的安全漏洞�。
82%以上的網(wǎng)絡(luò)攻擊都?xì)w咎于人為錯誤,內(nèi)部人員的錯誤為網(wǎng)絡(luò)攻擊者提供了更多成功的機(jī)會�,他們所犯的錯誤可以在企業(yè)的業(yè)務(wù)安全與災(zāi)難之間產(chǎn)生巨大的差異。因此�,企業(yè)中的每個(gè)人都需要理解并接受這個(gè)現(xiàn)實(shí)。
(資料圖)
與所有非技術(shù)性的挑戰(zhàn)一樣��,不同的方法將適用于不同的利益相關(guān)者�����。對于專注于資源分配的企業(yè)高管來說����,除了為網(wǎng)絡(luò)安全意識培訓(xùn)項(xiàng)目的成功編制明確的關(guān)鍵績效指標(biāo)之外,將網(wǎng)絡(luò)攻擊的破壞能力與網(wǎng)絡(luò)安全意識培訓(xùn)的成本效益進(jìn)行比較也是很重要的���。
對于更廣泛的員工隊(duì)伍�����,首席信息安全官和團(tuán)隊(duì)領(lǐng)導(dǎo)者可以闡明網(wǎng)絡(luò)安全意識的價(jià)值���,并指出這是一個(gè)專業(yè)發(fā)展機(jī)會�,也是一種展示員工如何維護(hù)企業(yè)安全來增強(qiáng)自身能力的方式��。網(wǎng)絡(luò)安全意識培訓(xùn)旨在確保長期的行為改變����,這意味著為所有利益相關(guān)者提供正確的激勵��。
由于網(wǎng)絡(luò)安全涉及到每個(gè)人工作的更多方面��,擁有一個(gè)知道如何建立和維護(hù)利益相關(guān)者對網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃支持的安全領(lǐng)導(dǎo)團(tuán)隊(duì)至關(guān)重要�。更重要的是����,人們親眼目睹了企業(yè)獲得的一些成功,這些企業(yè)的思維從把網(wǎng)絡(luò)安全意識培訓(xùn)作為IT孤島中的事物轉(zhuǎn)變?yōu)閷⑵湟暈槲幕暮诵某煞?����。正確了解網(wǎng)絡(luò)安全的定位是至關(guān)重要的,鼓勵那些積極通過定期培訓(xùn)來降低風(fēng)險(xiǎn)的人員���,首席信息安全官需要有直接的洞察力和指標(biāo)來跟蹤員工在網(wǎng)絡(luò)安全培訓(xùn)方面的進(jìn)展���。
為網(wǎng)絡(luò)安全意識辯護(hù)的財(cái)務(wù)理由
隨著企業(yè)增加對網(wǎng)絡(luò)安全團(tuán)隊(duì)的投資,有必要為網(wǎng)絡(luò)安全意識培訓(xùn)的采用和遵守提出清晰而令人信服的理由����。要做到這一點(diǎn),最可靠的方法之一是強(qiáng)調(diào)網(wǎng)絡(luò)攻擊將會為企業(yè)帶來慘重的損失�。根據(jù)IBM公司發(fā)布的一份研究報(bào)告,全球各地的企業(yè)在2022年遭遇數(shù)據(jù)泄露事件造成的損失達(dá)到了平均435萬美元�,并創(chuàng)歷史新高。在美國���,這一數(shù)字高達(dá)944萬美元��,是世界各國中最高的�。在IBM公司的調(diào)查中����,83%的企業(yè)表示他們以前曾經(jīng)遭到網(wǎng)絡(luò)攻擊。
一些代價(jià)最高和最常利用的攻擊載體直接涉及員工:典型的網(wǎng)絡(luò)釣魚攻擊在2022年造成了平均491萬美元的經(jīng)濟(jì)損失��,被盜或受損憑證的網(wǎng)絡(luò)攻擊造成的損失平均達(dá)到450萬美元。
對于企業(yè)來說��,阻止這些網(wǎng)絡(luò)攻擊的培訓(xùn)成本相對便宜��,只要具有網(wǎng)絡(luò)安全意識的員工阻止一次網(wǎng)絡(luò)攻擊就會帶來積極的投資回報(bào)��。根據(jù)IBM公司的調(diào)查�����,對于擁有網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃的企業(yè)來說�,遭到網(wǎng)絡(luò)攻擊造成的財(cái)務(wù)影響不那么嚴(yán)重。
網(wǎng)絡(luò)安全意識培訓(xùn)的實(shí)踐案例
網(wǎng)絡(luò)攻擊對企業(yè)造成的損失不僅僅是經(jīng)濟(jì)上的�����。IBM公司在調(diào)查中還發(fā)現(xiàn)����,識別和遏制網(wǎng)絡(luò)攻擊需要一段時(shí)間:發(fā)現(xiàn)漏洞平均需要207天����,修補(bǔ)漏洞需要70天。運(yùn)營部門主管很容易地理解在七個(gè)月的時(shí)間里可能會丟失多少敏感數(shù)據(jù)�����,多花兩個(gè)多月的時(shí)間和費(fèi)用修補(bǔ)漏洞,也將影響企業(yè)的業(yè)務(wù)�。
更重要的是,企業(yè)在遭到網(wǎng)絡(luò)攻擊之后可能面臨嚴(yán)重的聲譽(yù)損失����。用戶關(guān)心個(gè)人信息安全,這也延伸到了他們與企業(yè)的互動方式����。Arcserve公司日前發(fā)布的一份調(diào)查報(bào)告發(fā)現(xiàn),59%的消費(fèi)者表示他們會避免與在過去一年中經(jīng)歷過網(wǎng)絡(luò)攻擊的企業(yè)合作��,光是這個(gè)數(shù)字就足以讓企業(yè)的首席營銷官和銷售主管相信網(wǎng)絡(luò)安全意識培訓(xùn)是值得的���。
這些都是企業(yè)建立一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃的令人信服的理由����,尤其是在企業(yè)面臨經(jīng)濟(jì)逆境時(shí)���,他們越來越關(guān)注網(wǎng)絡(luò)攻擊帶來的損失��。網(wǎng)絡(luò)安全意識培訓(xùn)不僅可以幫助企業(yè)避免網(wǎng)絡(luò)攻擊造成的毀滅性損失�,還可以防止消費(fèi)者由于企業(yè)遭到網(wǎng)絡(luò)攻擊而失去信任,并確保員工能夠適應(yīng)不斷變化的網(wǎng)絡(luò)威脅形勢���。
在企業(yè)內(nèi)部獲得利益相關(guān)者的支持
即使企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)支持網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃���,仍然需要獲得員工的大力支持。很多人對網(wǎng)絡(luò)安全最普遍的誤解是���,確保網(wǎng)絡(luò)安全完全是IT團(tuán)隊(duì)和安全團(tuán)隊(duì)的責(zé)任���,這些團(tuán)隊(duì)擁有許多員工不具備的特定技術(shù)。這種誤解導(dǎo)致一些員工有一種無力感���,他們覺得自己受網(wǎng)絡(luò)罪犯擺布�����,而并不認(rèn)為保護(hù)自己的信息安全也是他們的責(zé)任。
犯這種錯誤的不僅僅是員工�����,部門經(jīng)理和企業(yè)高管也經(jīng)常堅(jiān)持認(rèn)為網(wǎng)絡(luò)安全超出了他們的范圍��,這意味著他們同時(shí)增加了自己被黑客攻擊的幾率,并為團(tuán)隊(duì)成員樹立了一個(gè)不良的榜樣��。
任何網(wǎng)絡(luò)安全意識培訓(xùn)項(xiàng)目的首要任務(wù)都是消除這些幻想�����,向企業(yè)的每個(gè)人展示他們不僅有能力防止網(wǎng)絡(luò)攻擊���,而且有責(zé)任這樣做��。但這種策略不能以無聊的講座�、PowerPoint演示文稿或大量電子郵件的形式表現(xiàn)出來�。讓員工加入企業(yè)的網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃的唯一方法是讓他們充分投入到學(xué)習(xí)過程中,通過高度參與以及培訓(xùn)相關(guān)內(nèi)容�����,確?��?沙掷m(xù)的行為改變����。
當(dāng)涉及到網(wǎng)絡(luò)安全意識培訓(xùn)課程時(shí)����,有幾種方法來理解“相關(guān)性”����。首先����,培訓(xùn)內(nèi)容應(yīng)該基于真實(shí)世界的網(wǎng)絡(luò)攻擊和阻止網(wǎng)絡(luò)攻擊的策略。其次�����,在員工獨(dú)特技能和學(xué)習(xí)風(fēng)格的基礎(chǔ)上實(shí)現(xiàn)個(gè)性化����。第三,應(yīng)該使用講故事和游戲化等策略���,這將給員工關(guān)注的理由����。網(wǎng)絡(luò)安全意識培訓(xùn)就是要提供正確的激勵措施來保持參與度����,而且這些激勵措施必須在企業(yè)內(nèi)部具有說服力。
構(gòu)建網(wǎng)絡(luò)安全文化
有效的網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃的最終目標(biāo)是使網(wǎng)絡(luò)安全成為從上到下的企業(yè)文化的一部分�。網(wǎng)絡(luò)安全意識不應(yīng)該只是員工、部門經(jīng)理和企業(yè)領(lǐng)導(dǎo)者在參與網(wǎng)絡(luò)安全意識培訓(xùn)內(nèi)容或明確討論工作場所的網(wǎng)絡(luò)安全時(shí)才考慮的事情�。應(yīng)該告知他們所做的一切,從他們?nèi)绾问褂脭?shù)字資源到如何與同事溝通和合作���。
廣泛的利益相關(guān)者支持是創(chuàng)建網(wǎng)絡(luò)安全文化的先決條件�,因?yàn)檫@一過程需要企業(yè)中每個(gè)人的持續(xù)承諾���。這就是強(qiáng)有力的激勵至關(guān)重要的地方�����。提高敬業(yè)度和保留率的最佳方法之一是打開一個(gè)新的窗口�,也就是向員工展示企業(yè)及其領(lǐng)導(dǎo)層關(guān)心他們個(gè)人的職業(yè)發(fā)展���,提供機(jī)會培養(yǎng)他們的網(wǎng)絡(luò)安全意識就是其中一種方法���。還可以通過鼓勵和獎勵健康行為來幫助企業(yè)關(guān)注問責(zé)制。企業(yè)可以使用許多工具來維持問責(zé)制���,例如網(wǎng)絡(luò)釣魚測試和對員工優(yōu)勢和劣勢的個(gè)性化評估����,這些工具可以開辟關(guān)于改進(jìn)領(lǐng)域的溝通渠道。
如今�,網(wǎng)絡(luò)威脅在不斷發(fā)展,因?yàn)楹诳驼诓粩嗟販y試企業(yè)的防御措施��,并設(shè)計(jì)新的方法來利用漏洞����。企業(yè)員工通過培訓(xùn)可以了解最新的網(wǎng)絡(luò)犯罪策略,并利用這些知識來保護(hù)業(yè)務(wù)安全�����。然而����,網(wǎng)絡(luò)犯罪分子仍然只需要一個(gè)單一的入口點(diǎn)就可以進(jìn)行網(wǎng)絡(luò)攻擊,這也讓企業(yè)清醒地認(rèn)識到���,實(shí)施網(wǎng)絡(luò)安全意識培訓(xùn)計(jì)劃需要利益相關(guān)者的全面支持��。
