如何为我的企业选择安全意识解决方案?

“良好的安全意识培训是健康网络安全文化的一部分,旨在鼓励积极的安全行为,至关重要。问题在于,提高认识的培训一直以来都是枯燥乏味、专注于技术且效率低下的,”Cygenta 联合首席执行官杰西卡·巴克博士在最近的一次采访中告诉我们 面试.

为了为您的企业选择正确的安全意识解决方案,您需要考虑许多因素。我们已经与几位行业专业人士进行了交谈,以了解他们对该主题的见解。

大卫·兰宁,首席技术官, 蓝宝石

选择安全意识解决方案与您的受众积极互动对于任何安全意识解决方案的成功都至关重要。每个人都是不同的,每个人都有自己对学习风格、内容和速度的偏好。您考虑的解​​决方案应该能够适应这一点,具有适合您企业中正确用户和组的丰富多样的内容。

不要忽视受众的多样性以及他们的专业领域所在。教育采购团队在线处理财务信息是合适的,但关于密码使用的一般警告可能对安全团队没有多大用处。

测试员工的意识并衡量他们的改进。这提供了完整的人力资源/审计跟踪,随着时间的推移发布这些结果可以让员工保持参与,显示安全意识培训有效性的变化。识别更容易受到网络钓鱼攻击的个人有助于集中针对这些个人的培训——这是您网络防御中的薄弱环节。基于理解的定制培训可确保那些在流程早期表现出理解的人可以免于进一步培训。

确保结果是有形的。能够证明安全意识解决方案是有效的,并改善了业务的整体安全态势。

首席执行官 Lise Lapointe Terranova 安全

选择安全意识解决方案正确的安全意识培训解决方案将推动员工的长期行为改变,以营造安全意识文化。

要实现这一点,必须具备五个关键组件:

  • 优质内容: 安全培训不能有效地被视为“一刀切”。内容的不同格式和长度可促进更好的参与和保留率。
  • 直观的网络钓鱼模拟器: 反映现实生活中的网络威胁的现成网络钓鱼场景与反馈培训相结合。
  • 多语言内容和平台: 为全球安全意识计划提供开箱即用的语言支持。
  • 沟通和加固材料: 大型预先设计的内容和模板库,用于内部活动推广和内容强化,包括视频、海报和新闻通讯。
  • 协商方式: 这与业务需求相关的安全培训包括:CISO 辅导、托管服务和内容定制。

通过选择正确的安全意识培训解决方案,企业可以开发具有吸引力和信息量的定制的多语言活动——最重要的是,成功。

迈克尔·麦登,安全意识和威胁情报产品高级副总裁兼总经理, 模拟广播

选择移动安全解决方案人为错误是任何组织面临的最大风险之一。然而,许多组织每季度甚至更少地进行网络意识培训——这根本不够。 Mimecast 最近对 1,025 名 IT 决策者进行了调查,发现 21% 的受访者按月提供培训——专家认为这是黄金标准的时间表。

任何安全意识计划的目标都应该是改变员工对网络安全的看法——帮助他们了解这不是不便,而是可以帮助他们更有效地工作。但是,通过一次性培训课程或涉及非交互式材料(如枯燥的企业视频和批量生产的小册子)的孤立活动,无法有效地对员工进行电子邮件和网络安全教育。

在确定安全意识解决方案时,组织应注意以下几点:

  • 幽默 – 当信息以陈旧乏味的形式提供时,没有多少人会吸收信息。幽默能吸引人们的注意力,是最好的参与方式。寻找一种包含幽默的解决方案,以高度相关的方式传达重要信息。
  • 短而频繁的内容 – 定期提供简洁的培训是将网络安全最佳实践融入员工日常活动的好方法。培训课程应每月提供一次,且时间不得超过 5 分钟。
  • 风险评分 – 风险评分功能可以帮助识别最有可能遭受攻击的员工,并有助于将更多的时间和资源集中在特定的个人身上。

兰斯·斯皮茨纳,认证讲师, SANS研究所

选择安全意识解决方案安全意识最终是一种控制,可帮助确保您的组织不仅合规,而且有效地管理和衡量您的人员风险。因此,您需要一个由了解风险并知道要关注哪些风险和行为的专家开发的解决方案。

这些决策应由基于当今最新威胁、技术和事件驱动因素的数据驱动。如果您专注于错误的行为,不仅会浪费组织的时间,而且实际上可能会增加组织的风险,例如要求人们定期更改密码。

其他关键因素包括内容的更新频率以及人们如何与之相关。随着技术、威胁和组织的变化,风险也在变化。您的培训应反映这种变化。另一个要素是确保培训非常适合您的组织和文化。例如,如果您有一个喜欢幽默的外向组织,那么请使用幽默培训。但是,如果您拥有一个大型、多元化或更保守的组织,您将需要能够很好地适应该环境的培训。

英格威策尔,社会心理学家网络安全与合规, 安全

选择安全意识解决方案首先,退一步!问自己一个问题:你到底想达到什么目标?寻找意识解决方案意味着您的目标是您的所有员工都知道安全风险并且他们知道他们应该做什么。你的重点是:知识。然而,知道你应该做什么和实际行为之间存在差距。很多人都知道他们实际上应该锁定他们的电脑屏幕,但很多人仍然没有相应的行为。

如果您组织中的所有员工都通过了意识测试,您会高兴吗?这对您的实际行为有何启示?那么,您可能不是在寻找安全意识解决方案,而是在寻找安全行为解决方案?

心理学告诉我们,行为不仅仅由知识来定义:我们的行为还受到个人因素的驱动,例如我们的动机和过去的经验。此外,环境和文化等组织因素也定义了行为。为了有效地改变行为,行为的所有方面都应该得到解决。此外,应反复关注这些因素,以将主题放在首位。因此,通过关注其三个决定因素:知识、个人因素和组织因素,寻找一个以安全行为为最终目标的持续计划。




分享这个