在许多方面,安全意识培训旨在通过高级管理层看到和解决信息安全的方式。
每年一次的基于教室的方法可能是传统的,安全性更新和警告张贴在墙上和内部网上,但它也是一种提示框、合规性驱动的安全性方法的标志。这通常是为了安抚行业监管机构、PCI和数据保护当局,培训可以提供相对基本的——可以说是屈就的——建议。
但时间正在发生变化。威胁景观随着数百万手机和可穿戴物品的到来,每个手机和可穿戴物品都有自己的知识产权地址,而有组织的犯罪和国家的APT团体正在寻找损害受害者的新方法。从利用套件和木马到勒索制造器、钓鱼和社会工程学诈骗 - 犯罪游戏已继续。
[也在CSO上:9个提示,技巧和安全意识课程]
信息安全行业已认识到这一点,呼吁结束预防关注的防御,并更加注重回应。但肯定意味着安全培训必须依次改变?
仍然是一个低优先事项
关于首席信息安全官(CISO)或首席安全官(CSO)接受安全培训的认真程度以及他们做得有多好,有一场辩论。
去年的Clubciso委托一项研究发现,21%的Cisos授予安全培训,另一个进一步的21%表明他们只在新的工作人员加入公司时所做的。37%的人表示,他们每年进行培训,另外21%同意这一批准就会“经常”进行。
超过一半的被调查的Cisos承认其安全意识培训计划“无衡量有效性”,而24%的人表示他们依靠在线测试。另外14%的人表示,他们进行了培训后测试,在培训前后,在培训前和支撑呼叫量的衡量事件和支持呼叫量。
infosec咨询公司First Base Technologies的首席执行官皮特•伍德(Pete Wood)表示,培训项目必须进行自上而下的变革。
“企业终于明白,他们需要让员工成为防御姿态的一部分,而不仅仅是在产品上砸钱。从历史上看,这是员工必须参加的,但他们不喜欢做的事情,而且几乎是以和健康和安全培训一样的心态参加的。这不是21圣世纪解决方案。“
STU SJOUWERM,安全意识培训提供商知识(Kevin Mitnick的公司)首席执行官,同意这个“老学校,合规答案框”培训,通常通过PowerPoint进行褪色。
“这不再是黑客行为了,因为两天后,所有人都忘记了一切。”
董事会买入是必须的
很明显,建立一个积极的培训计划必须从董事会的支持开始。
木材表示,建立安全文化是为了获得培训,而独立的笔测试仪和社会工程专家Richard de Vere要求更直接的方法。“让董事会参与并喊到脸上的蓝色,因为这是他们为你付出的代价。”
Sjouwerman同意:“这需要由CEO和COO下来推动。”
[还阅读:安全意识培训有用吗?]
有些人采取更大胆的步骤;一家公司在同一主题向他们展示之前向董事会成员发送了模拟的电子邮件攻击。其中几个板点击了链接,粗体CISO获得了批准,将这些链接发送到最终用户 - 并根据需要提供后续培训。
然而,其他人就不那么乐于助人了,这又回到了CEO-CISO沟通。
红色合作,游戏和更多
获得董事会的支持对于资金、资源和正确的企业文化至关重要。但是,培训应该如何形成呢?它应该是在线的,面对面的吗?首先你是如何塑造这个项目的?
木头表示,积极的公司应该首先做一个红色的合作练习,以解决他们的潜在妥协地区,因此他们可以塑造计划并解决对业务的具体风险。
他说CSO Online.这是一家总部位于英国的生命科学公司的故事,该公司的信息部门负责人聘请First Base建立了一次攻击的“故事板”。伍德的笔测试员对这家公司进行了研究,发现其中一名威胁行动者可能是有组织犯罪,还发现了这些黑客试图获取信息的方式。从钓鱼邮件、恶意软件到通过USB加密狗进行的现场攻击,伍德说,该组织有很多弱点。
“最后出来的不仅仅是一组如何修复的建议,我们还确保拍摄它,这样他们就有了我们在不应该去的地方徘徊的视觉证据。他们利用这个故事,制定了一个培训意识项目,并把它作为一个故事传递给世界各地的员工。”
这种难以想象的方法是需要的,而不是采取基于课堂的方法。
[也在CSO上:6个提示您的安全意识培训]
德维尔敦促说:“培训不应该是零零碎碎的。选择一个好的平台和供应商,并坚持下去。员工们的任务相当艰巨,因为他们要在没有错误信息或知识漏洞的情况下学习他们对安全构成风险的所有方式。如果你还没有一个社会工程培训平台,那就去找一个。
“员工应该被认为对安全漏洞负有‘责任’,但作为回报,你必须竭尽全力为他们提供所需的一切支持。”如果他们失败了,鼓励他们,让他们报名参加更多的培训。”
Sjouwerman表示,该公司有三个步骤:建立基准测试,发现结果,对“从收发室到董事会的所有人”进行培训。他表示,必须定期进行测试,以保持员工的兴趣和学习。
不过,专家们对“游戏化”训练的新趋势看法不一。Sjouwerman说部门之间的网络钓鱼游戏可以降低点击率,但是Wood强调这不能是一种噱头,必须与现有的项目联合起来。
明年,他的公司将与一家英国慈善机构合作,将red团队演习纳入他们的年度会议。他说:“人们确实很喜欢。”
激励用户
木材承认,最大的挑战是继续该计划,一年四季,他说的是需要时间和金钱。在理想的世界中,他说每个企业都应该有安全福音学家跟上威胁,创造性地思考如何训练。
媒体报告可用于保持安全性的嗡嗡声,特别是如果违规是本地或行业相关的。
专家们也争论您可以在培训中激励员工。有人说如果你使用网络钓鱼的报表工具,或有一些其他测量最终用户安全意识的方法;您可以在公司聚会的礼物颁发顶级员工。这是认识卓越和加强行为的积极态度。
Sjouwerman看到了“胡萝卜”和“棍子方法”的优势,但建议Cisos以开发员工了解如何在家里为自己的个人安全使用。
肯塔基州健康合作社的首席信息官理查德·斯塔恩斯表示同意并告诉了记者方案:“在我公司的意识方案中,我们打破了技能,并将他们与您在家里保护自己的事物相关联。
“向某人展示如何在家里保持孩子的安全,这些技能很容易翻译,使您的公司在工作中更安全。”
斯塔恩斯,敦促Cisos建立KPI建立培训效果,增加:“不可能有一种责任文化。我宁愿有人认识他们犯了一个错误并通知安全。如果他们不通知安全性,因为他们担心他们可能受到惩罚,你的意识计划在最糟糕的时间内失败了。“
这个故事,“CISOs应该认真对待安全培训”最初是由方案 。