我看过的所有公司安全政策和大多数最佳实践指南都要求积极开展安全意识培训项目。我从来都不是这个概念的粉丝,因为这看起来像是浪费了一大笔钱,无论是从硬通货的角度来看(培训材料、海报、CBT和教师的成本),还是从软性但同样真实的角度来看(每年把人们从工作中拉走)。
但(我)指出,我所做的大部分工作:公开演讲、博客和专栏,实际上都是在训练安全意识,因为我在诱使企业领导人更多地关注来自网络罪犯、敲诈勒索者的威胁,现在还有间谍国家的威胁。
所以,是的,有很好的安全意识培训。但我不包括教鲍比在接待处如何避免被凯文·米特尼克欺骗。期望普通员工变得偏执到足以抵御社交工程攻击,这是徒劳和愚蠢的。你应该投资更好的安全技术,而不是在电梯里张贴海报,劝诫人们在走廊里拦住陌生人。需要训练人们每三周更换一次密码吗?只需建立一个身份和访问管理解决方案,迫使他们这样做。需要更强的密码?去买一次性代币。
我喜欢什么样的安全意识培训?我喜欢对IT管理员和开发人员进行黑客技术培训。如果他们看到侵入或绕过应用程序是多么简单,他们就会建立更好的控制和编写更好的代码。有很多黑客培训班。我会整理一份清单并贴在这里。如果你有最喜欢的课程,请通过电子邮件或留言告诉我。