网络犯罪分子深知许多企业仍在学习的道理:人员始终是任何安全系统中最薄弱的环节。人为错误导致 的安全漏洞高达95%,这使得员工既是最大的漏洞,也是抵御网络威胁最强大的防御力量。
英国政府最新的网络安全漏洞调查显示,过去12个月内,英国一半的企业遭遇过某种形式的网络安全漏洞。大型企业的比例更是高达74%。英国数据泄露的平均成本高达358万英镑,企业再也无法将网络安全意识培训视为 一项例行公事。
超越传统培训
传统的网络安全意识项目常常失败,因为它们将员工视为信息的被动接受者。员工们坐在办公室里听年度报告,完成多项选择题测验,很快就会忘记大部分学到的知识。这种方法未能解决不同角色面临不同网络风险的现实问题。
组织应根据具体工作职能定制培训。高级管理人员需要警惕“鲸钓”攻击,即犯罪分子冒充可信赖的同事或业务伙伴;会计人员则需要接受发票欺诈和付款重定向诈骗方面的培训。
员工应该了解,网络犯罪分子会积极在领英上搜索职位,以策划令人信服的冒充攻击。事实证明,这种有针对性的方法比泛泛的认知培训更有效。
游戏化在构建安全文化中的力量
越来越多的公司选择游戏化来对抗枯燥过时的网络安全培训。游戏化是指利用徽章、积分、排行榜和实时反馈等游戏元素来强化安全行为。
员工可能会收到虚假的网络钓鱼邮件,并因正确举报而获得积分。上当受骗的员工会立即获得反馈并有机会学习。这需要通过重复来养成习惯。久而久之,员工就能更快地发现威胁,并更有信心地做出反应。
打造一支具有网络意识的员工队伍需要文化变革,而不仅仅是培训计划。这意味着要表彰那些报告潜在威胁的员工,而不是批评那些犯错的员工。这意味着要让安全成为每个人的责任,而不仅仅是IT部门的问题。
欧洲网络安全与云计算博览会等行业盛会 为安全专业人士提供了宝贵的机会,让他们分享最佳实践,并了解新兴威胁。这些盛会凸显了组织间协作如何增强每个人的防御能力。
约76%的安全领导者对网络威胁日益复杂的现状感到担忧,72%的人 认为自己是 早期采用技术来应对网络威胁的领导者。他们对工具的重视显而易见,但现在许多人认识到,技术解决方案必须与人才投入相匹配。
衡量成功
有效的内部威胁预防需要持续的衡量和调整。企业会跟踪诸如网络钓鱼模拟点击率、安全事件报告量以及员工处理可疑通信时的信心水平等指标。
最成功的项目将定量数据与定性反馈相结合。定期调查有助于发现可能阻碍员工遵守安全协议的知识差距和文化障碍。
企业也在衡量其计划对业务的影响。当员工提高警惕时,企业会发现成功的攻击次数减少,事件响应成本降低,法规合规性也得到提升。
构建人性防火墙需要从根本上转变,将员工视为网络安全防御的积极合作伙伴。投资于行为科学、游戏化和实时反馈的组织能够营造一种文化,让安全意识成为第二天性,将最大的弱点转化为最强大的资产。
