有一天,我在一屋子的首席信息官、首席技术官和CISOs——作为一个破冰活动——被要求分享一个糟糕的安全习惯。一个接一个地承认不好的密码卫生,如重复使用的密码。
我是唯一一个在房间里使用密码管理软件,只是因为我刚写的一篇文章。
即使受过良好教育的安全专家陷入困境时的安全,我们真的能让普通员工更安全知道吗?
伯恩万调查今年春天,IT员工实际上是比一般人更容易打开未知的发送方,附件的下载官方应用商店以外的应用程序,点击链接在社交媒体网站——尽管他们也更有可能知道这是危险的行为。
培训成本的钱,需要员工离开他们的工作。如果连最训练有素的员工仍然糟糕的安全决策,培训是浪费吗?
不幸的是,很少有数据到目前为止,但从个别公司的经验,训练可以改变,如果它是正确的。这意味着提供培训在小,消化的单位,跟踪测试和强化,创建企业文化通过让各级员工的安全。
小块的碎片
长,全面的培训课程可以创建疲劳,导致员工区在讲座期间,和忘记了内容之后迅速。
“太容易表土security-centric太多东西的人,”詹森·托马斯说,CIO Ruston HIPAA安全官,拉的绿色的诊所。
但在监管领域诸如医疗、安全培训是必要的,即使它惹恼了员工宁愿花时间挽救生命。
“培训不一定是说教式,每天八小时,”托马斯说。
绿色诊所发送短每月笔记HIPAA法规遵循的一些方面。
“然后我们做一个简短的测试,”他说。“我们不是要把他们远离他们去学校,这是治疗病人,但这是工作的一部分,在一个严格的监管组织。”
这些小教育信息工作,他说。
例如,一个供应商最近抱怨被拒绝访问设备。
“一个接待员拒绝提供他任何细节,”托马斯说。相反,她告诉他,他不得不直接联系托马斯。
这正是期望发生什么,托马斯说。
SailPoint技术使用短,集中产生的视频片段SANS研究所。他们特性两到三分钟的真实的例子,说,社会工程黑客。
“关键是你如何包装它,让它有趣的和消化,”凯文·坎宁安说SailPoint总统和创始人。“他们把它带回它对你意味着什么。”
总共有20多个视频,每个覆盖一个非常具体的主题,其次是一个简短的测验,可以通过员工门户。
“如果我有一个五分钟的休息时间,我可以看到一个小插曲,”坎宁安说。
该公司刚刚推出了这个项目,但坎宁安说,他已经看到改变态度。
但他并不是单靠直觉。六个月后,SailPoint一轮保留测试。此外,个别员工违反政策将接受额外的,更深入的培训。
“人们任何安全计划的关键组成部分,”坎宁安说。“坏人已经发现的最脆弱的部分公司的人。有很多收获。”
模拟攻击
一个简单的安全意识培训的目标是教员工如何处理网络钓鱼电子邮件。根据最新的Verizon数据泄露的报告,网络钓鱼是涉及所有数据泄露的四分之一。根据波耐蒙,平均拥有10000名雇员的公司每年花费370万美元在处理钓鱼攻击。
波耐蒙最近计算反钓鱼培训项目的有效性。最有效的培训项目仍有7倍的投资回报,甚至考虑生产力的损失时间的员工在培训期间。和平均计划导致37-fold投资回报。
一个公司的努力改善和衡量其有效性袋熊安全技术,卡内基梅隆大学的一个研究项目。
“在我看来,视频和课堂培训,别让用户从一开始就注定要失败,”公司首席执行官乔·费拉拉说。
袋熊运行模拟网络钓鱼攻击的组织,然后提供现场培训模块。
一个客户,宾夕法尼亚州的安全产品制造商MSA安全,一开始他们第一年的培训项目失败率为25%。
“现在我们5 - 8%的失败,”史蒂夫·洛克说,该公司的全球网络安全经理。“我们已经大幅降低我们的风险,在我看来。”
自从两年前第一次驾驶袋熊培训项目,该公司已经滚到世界各地的50个网站,在七种语言。
除了钓鱼训练,也有介绍如何分类数据的模块,可以通过电子邮件发送,可以存储在云端。培训处理个人健康信息,物理安全、社会工程、社会网络和各种各样的其他话题。它是可定制以满足MSA的具体需求。
“这些都是非常重要的知识为我们的终端用户,”洛克说。“人们喜欢它。”
它有助于安全培训也经常适用于员工的个人电脑使用,他补充说。
安全培训的一个影响是,员工现在报告奇怪的电子邮件或其他事件。这意味着如果公司被特别目标,即使一些员工仍然爱上钓鱼邮件,别人会发现并提醒安全团队,有一些。
洛克说,也有一个强大的减少在网络上恶意软件。
显然,没有完美的制度。事实上,最近的有两个事件中,两名员工CryptoLocker的牺牲品。当公司调查,原来的一个员工没有培训,和其他收到了低分。
除了袋熊,其他几个供应商很高兴发送模拟网络钓鱼攻击你的员工。它们包括PhishMe35,计数的财富500强客户。其他人则ThreatSim,SynerComm,PhishingBox,KnowBe4。
但是这种基于仿真的训练仍是新行业,赛斯·罗宾逊说,技术分析的高级主管计算技术行业协会
“我有跟一些公司做这种培训,这往往是一个首映安全培训应该是什么样子的例子,”他说。“公司谁显示取得了一定的成功。”
但全面、持续的基于仿真的安全培训是罕见的。
“我们的数据显示,而不是许多公司都做认真的训练,”他说。
相反,他说,公司仍有可能给一个安全策略的副本聘请的员工,要求他们签署。
创建一个文化的变迁
当安全培训意味着从合规检查框,很难让人们注意,太往心里去。
“但如果好的安全卫生渗透到一个公司,就可以成功,”西沃恩·麦克德莫特谋杀北爱皇家说,校长在安永(Ernst & Young)的网络安全实践。“我们处理很多董事会和高级管理层建立安全意识程序。我们回去看看如果有变化的行为。”
有影响的主要因素是最资深的高管的行为建模,一路下来。
“不能只是实现从人力资源,”她说。
这个故事,“甚至安全意识培训工作吗?”最初发表的方案 。