在斧投资,biollionaire鲍比·阿克塞尔罗德在放映的新系列,数十亿虚构公司的员工,是彻头彻尾的愤怒,当他们得知惊喜SEC袭击只是一个测试。阿克塞尔罗德,虽然,发现模拟空袭卓有成效的,因为它揭示了组织内部的薄弱环节。
这些都是企业应该使用评估的成功指标,其安全意识计划。为了宣传培训工作,它必须让每个人都在企业中,好了,知道。
最近袋熊报告透露,除了网络钓鱼的不断增长的问题,各行业员工过分分享的社交媒体,不安全利用WiFi,以及公司机密数据泄露的斗争。那些无处不在的职位带来严重的风险。
克里斯·韦伯,共同创始人,Casaba保安说:“网络钓鱼攻击是相当可测量的。你给乡亲钓鱼车间,然后去和运行网络钓鱼测试活动,看看有多少人上当受骗的诱惑,又有多少人报告攻击或可疑电子邮件,”韦伯说。
因为许多恶意行为者交付的威胁往往扎入网络钓鱼,这些练习也不容忽视,特别是在人的倾向,overshare的光。“大多数公司都拥抱某种类型的年度或入职训练,让人们知道这些都是你应该注意,如果你试图访问公司资源的事情,”韦伯说。
本身并训练是不够的。一个成功的宣传方案将在与测试相结合的培训。“做培训知道发生了什么事情和测试,以保持它在人们心目中激活。谁落在诱饵?”韦伯说。
“每个人在组织中的应该每月进行测试。这可能是比这更频繁,但不讨厌的人的地步。这是衡量的,”韦伯说。
Because so many breaches are the result of human error, "Sometimes it’s easier to block access to it all and then grant access by request. Then anybody who requests access needs to install some type of device management software to help organizations keep track and monitor and have a little bit more control over the resources," Weber said.
阻止访问可能很麻烦,不过,并建立访问控制并不排除持续的和有意义的意识培训的需要。
戴夫Chronister,创始人,安全性的参数
戴夫Chronister,安全性的参数的创始人说,“意识训练的,你需要有一个程序,你可以做些什么来保护您的网络中最重要的事情之一,它需要是有效的。”
有效的手段做的不仅仅是谈论事情的人这样做是annoying.That乏味的做法是一定要迅速引起观众的注意漂的人 - 甚至拿出自己的手机和社交媒体开始张贴。
Chronister说,当他听到别人告诉他,他们一个安全意识培训中,他们有一年一次,他知道这是不是一个程序,它是达到标准的单一训练。
“如果没有电影,电子邮件,媒体宣传海报,以及测试增强,最终用户将只记得它几天,然后这个概念将会消失,” Chronister说。
一个中等规模的公司,其程序真正打动他的,不过,每月召开公司会议。“相反,一个小时的长达一年一次,这是一个30至45分钟]公司会议,他们要在10分钟内讲安全意识,并在每次会议上,他们会去在当前主题,” Chronister说。
[相关:9个提示,技巧和的必备安全意识计划]
而不是屈服于“我们要失败”的做法,其结果是,在一年的过程中,他们花更多的时间谈论安全意识。随着社会工程演习相结合使他们能够拿出他们需要看到他们需要改善的指标。
社会工程学练习确实很困难,因为它需要安全专家来欺骗自己的员工。这样做的目的应该是要弄清楚是怎么回事,不是为了惩罚人的意外失误。为了知道是否人响应或联系帮助台,企业需要提起一致的,不同的测试。
是的,钓鱼邮件是一种流行的社会工程技术,但他们也必须知道,如果一个陌生人可以轻松地走在门口,并获得到他们想去的地方。“中的指标显示他们,这是多少人点击了链接,有多少人,然后输入的信息。然后,我们的目标是我们能做些什么来降低呢?”说Chronister。
迪伦斯特说,组织要做的一件事就是从企业政治中挑选打击对象。“很多人认为,我们不能让CISO点击,”他继续说,但CISO很有可能。她/他和公司里的其他人一样,很可能被社会工程欺骗。
“社会工程不会发生,因为你比别人笨。如果你相信,你会得到社会工程。我见过一个CISO谁说,人谁得到社会的工程将被解雇。通过taking a tough stance, he’s made his security awareness program worse. If I made a mistake and realize it, I’m not going to tell anybody because I could get fired," Chronister said.
安全意识有待根据技能集和工业部门都。乔希Grunzweig,威胁情报分析师,帕洛阿尔托网络单元42,说,“很多招待员工使用POS终端作为一个正常电脑查看电子邮件,浏览网页,张贴在Facebook上,这些终端应该只用于金融交易。“
在评估的安全意识培训的成功,它是围绕左右改变人类行为的期望现实是非常重要的。“很多进入推杆技术控制到位,使攻击者不能进入,他们不应该,” Grunzweig说。
整个行业的所有部门,但是,当人们被允许授权访问,就只有这么多了意识培训计划可以预防。“招待费一直打到了很多年,所以是的,员工需要什么就去找进行培训,但控制必须到位,” Grunzweig说。
企业正逐渐认识到,他们不能把所有的负担员工,因为攻击的绝对数量是巨大的。大大小小的公司是曾与意识培训的成功这样做是因为他们正在处理的安全性同时作为公司和员工报警威胁,他们可以处理他们的个人生活。
斯坦黑色,CSO思杰表示,与安全意识的挑战之一是,人们需要接收不仅仅是知识的一些好处。“对于许多从财务到人力资源后台功能的乡亲,也有课程,针对特定的角色。我们配合他们一个趋势,作为威胁变得越来越普遍添加组件,”布莱克说。
行政助理是通往高管和布莱克说,“落实社会工程意识具体到他们的作用。他们拥有的信息是非常有价值的,我们结婚,在与其他元素连接到他们的个人生活。”
为了衡量一个安全意识计划的成功,他们需要的指标,这需要频繁的测试,不仅对业务相关,但有意义的工作在那里的人。
相关的视频:
这个故事,“你的安全意识培训计划的工作?”最初由出版CSO 。