威胁持续进化,网络罪犯也越来越高端,缺乏成熟安全意识和培训项目的公司企业已经处在重大风险边缘。
Shred-it 的《第九份年度数据保护报告》揭示,超过半数 (53%) 的首席级高管认为自家公司的数据泄露源于外部组织或人为失误导致的意外损失。另外,该报告还发现,96% 的美国人认为,主流美国公司发生的数据泄露至少有部分原因在于疏忽大意的员工。
此类疏漏的损失很惨重,从数千到数百万美元不等,而且价格还在不断攀升。举个例子,因为员工不小心点击了网络钓鱼链接,导致勒索软件侵入计算机系统,佛罗里达州里维埃拉海滩市最近就向黑客支付了 60 万美元以解锁文件。穆迪投资评级机构最近估测,普遍认为是因公司疏忽导致的 Equifax 数据泄露事件,将令该公司在今明两年里承受约 4 亿美元的网络安全开支和资金投入。
威胁持续进化,网络罪犯越来越高端,攻击越来越有针对性,这种态势下,缺乏成熟安全意识和培训项目的公司企业已将自身置于重大风险境地。安全意识经理应该重新思考一下,自己对员工进行潜在网络攻击通告和教育的方式,是不是过于含蓄了。
不过,这也不全都是坏消息。尽管安全意识与培训还有很长的路要走,公司企业虽步履缓慢却也在不断进步,而行业领导者也正努力做出改善。以下就是部分安全专家对安全意识最新趋势的看法。
意识不等同于培训
首先,安全人员需理解,意识和培训是不一样的。KnowBe4 首席布道者及策略官 Perry Carpenter 在其最近出版的《变革性安全意识》一书中写道:“意识到未必意味着会重视”。
InfoSec Institute 首席布道者 Lisa Plaggemier 所教授的安全意识从业人员认证课程也反映出相同的观点。她说:“过程和策略很好,但如果不能赢得员工从思想到意识上的认同,那基本上等于在做无用功。”
意识主要是提供信息。培训则是旨在让参与者改变行为。EY Americas 负责安全意识与培训开发的网络安全总监 Alexandra Panaretos 表示:“意识就是,‘锁好车门防止贵重物品被盗’;培训则是,‘这就是为什么罪犯会挑中你的车的原因’。”
重构员工感知安全意识的方式
公司企业已经深刻意识到,人为失误和社会工程是太多数据泄露事件发生的根源。安全意识作为照单打勾式年度上机培训的一部分,已不能再减少此类事件的发生。
Plaggemier 称:“没有哪个行业会像安全行业一样把人视为如此严重的问题。这么一想,就会觉得实在有点伤感。我是将技术看做对人类的促进,同时并不认为人在毁掉技术。”
通知和教育员工应成为公司要务,不重视这一点的公司将为此背负陷入风险的责任。幸运的是,行业影响者已经开始改变企业思考安全意识的方式,公司企业也注意到人都是在不断学习的,所以意识与培训也应持续。
Panaretos 称:“很多次之后,安全人员就会看出通用培训没什么效果。微学习和即时学习才能真正改变员工工作方式。”
KnowBe4 的 Carpenter 称:“如果你真心想要有效塑造员工安全相关的思维与行为,就得了解人们思考、行动、表达偏好、做出选择和接受新观念的天然方式。”
意识和培训应不仅仅是一项常规要求。一个项目想要真正有效,安全必须成为企业文化的组成部分。另外,所提供的内容也不应该是侵入性的,不能让员工觉得培训干扰了他们的业务工作。
无论是在其他工作必读简报中附带一条每周安全小窍门,还是发布一段简短幽默的小视频,成功意识与培训的关键都是让目标受众愿意去看。Panateros 说:“把你想传达的东西渗透到目标受众的生活中,这样你的内容才不会被视为额外的负担。”
设立安全意识经理的职位
安全意识项目失败的部分原因,是因为没有人或没有团队负责通告和教育全公司的员工。
正如 SANS 安全意识总监 Lance Spitnzer 在 5 月 21 日的博客帖子中指出的,即便有公司确实设立了这样的职位,其职责也没有清晰的定义。尽管美国国家标准与技术局 (NIST) NICE 框架想要定义网络安全劳动市场中的各个岗位,Spitzner 称,安全意识经理这样职位也没有一致的头衔或充分的描述。
SANS 承担了相互参照不同职位头衔与职责以拟定统一称谓的任务,拿出了“安全意识与沟通经理”——统管当前分配给参与安全意识及培训的大量个人的各项任务。
Spitzner 称:“这个人专门负责向全体员工兜售网络安全概念。他们的目标是在整个企业中构建安全行为,并最终达成一种安全驱动的文化。”
能让人接受的安全项目
Panateros 认为,改进已有项目甚至创建全新项目,都始于与员工沟通。她说:“问他们一般性培训项目有哪些方面是他们喜欢或不喜欢的——不仅仅信息安全培训,而是整个培训。”
安全意识提供者还需与他们的人力资源和培训团队携手合作,接受当前内容可能无效的现实。承认员工可能不喜欢自己被灌输的内容,并将之视为变得更富创造力的机会。
Carpenter 建议公司企业编制不同策略,以储备他所谓的“安全意识主管工具箱”。工具箱中应包含新鲜有趣的内容,范围可以包括视频、学习模块、微学习、招贴画、简报通讯,甚至装饰性帷幔。而且这些都得通过能让人接受的文化连接以讲故事的方式加以传达。
Carpenter 说:“所有的故事汇聚成安全项目如何改变员工生活、改善整体风险态势和企业弹性的大蓝图。”
Shred-it 的《第九份年度数据保护报告》:
SANS 5 月 21 日博客帖子:https://www.sans.org/security-awareness-training/blog/nist-nice-work-role-description-security-awareness-and-communications-manager
