有一天,我是在一个完整的首席信息官,首席技术官和首席信息安全官的房间谁 - 作为一个破冰活动 - 被要求共享一个坏习惯的安全。一个接一个考上后不好的密码卫生,如重复使用的密码。
我是唯一一个在谁使用的房间密码管理软件那只是因为我刚刚写了一篇关于它的文章。
如果连受过良好教育的安全专家陷入困境,当涉及到安全,才能真正教育的平均员工们更加安全意识?
在万顺伯恩调查这个春天,IT员工们实际上更可能比一般来自未知发件人打开附件,从官方应用商店以外下载应用,点击社交媒体网站的链接 - 尽管他们也更容易知道这是冒险的行为。
培训费钱,从他们的工作需要员工离开。如果连最训练有素的员工仍然做出错误的安全决策,是培训只是一个很大的浪费?
不幸的是,目前能得到的数据非常少,但从个别公司的经验来看,如果培训做得好,可以起到作用。这意味着在小型、易于理解的部门提供培训,接着进行测试和强化,并通过雇佣各级员工来创建企业安全文化。
小块的碎片
长期的,全面的培训课程可以创建疲劳和事业员工讲课时扫开,并迅速事后忘了内容。
总部位于洛杉矶的Ruston的CIO和HIPAA安全官员Jason Thomas说:“同时使用太多以安全为中心的东西很容易让人们负担过重。绿色诊所。
但在医疗保健等受监管的领域,安全培训是必要的,即使这会惹恼宁愿花时间救人的员工。
“培训不必是每天8小时的课堂式的,”托马斯说。
绿色诊所发出短每月说明有关HIPAA法案的某些方面。
“然后我们对此做一个简短的测试,”他说。“我们并不是要让他们放弃上学的目的,也就是治疗病人,但这是在一个受到严格监管的机构工作的一部分。”
这些小花絮教育在工作,他说。
例如,一个供应商最近抱怨被拒绝使用设备。
“一位接待员拒绝提供任何细节,”托马斯说。相反,她告诉他,他必须直接联系托马斯。
这正是应该发生,托马斯说。
SailPoint技术用途简而言之,通过产生聚焦视频片段SANS研究所。它们有两到三分钟的真实例子,比如,社会工程黑客。
“关键是你如何来包装它,使之有趣且易消化,”凯文·坎宁安,SailPoint的总裁和创始人。“他们把它带回这意味着什么给你。”
总共有二十多个视频,每个都涉及一个非常具体的主题,然后是一个简短的测试,可以通过员工门户访问。
“如果我有五分钟的空闲时间,我可以看其中一个短片,”坎宁安说。
公司刚刚推出了这个项目,但坎宁安说他已经看到了态度上的变化。
但他不是通过直觉单干。六个月后,SailPoint会做一个全面的保留测试。此外,违反政策的个别员工将获得额外的,更深入的培训。
“人才是任何安全计划的重要组成部分,”坎宁安说。“坏家伙已经找到了该公司的最脆弱的部分是人。有很多并在那里获得的。”
模拟攻击
对于安全意识培训一个容易的目标是教员工如何应对钓鱼邮件。根据最新的威瑞森数据泄露报告,网络钓鱼与四分之一的数据泄露有关。据波耐蒙说,拥有1万名员工的公司平均每年花费370万美元用于应对网络钓鱼攻击。
Ponemon的最近计算出反钓鱼培训计划的有效性。最低有效的培训计划还是对投资7倍的回报,即使考虑到在员工花费是训练的时间效率的损失。而平均执行方案导致的投资37倍的回报。
一家公司的工作很难既要提高和衡量其有效性袋熊安全技术它是由卡内基梅隆大学的一个研究项目发展而来的。
“在我心中,视频和不吸引用户都注定从一开始就失败的课堂培训,”公司CEO乔·费拉拉说。
袋熊了模拟运行,对网络钓鱼攻击的组织,然后提供对现场培训模块。
其中一个客户是宾夕法尼亚州的安全产品制造商MSA安全在第一年的培训计划中,他们的失败率是25%。
“现在,我们在5%至8%失败率,”该公司的全球网络安全经理史蒂夫·罗科说。“我们已经大大降低我们的风险,在我看来。”
自从两年前第一次驾驶的袋熊培训计划,该公司已经推出了它在世界各地50个站点,以七种语言。
除了钓鱼培训,还有一些模块包括如何对数据进行分类,哪些可以通过电子邮件发送,哪些可以存储在云端。有处理个人健康信息的培训,物理安全的培训,社会工程的培训,社会网络的培训,以及其他各种主题的培训。它是可定制的,以满足MSA的具体要求。
“这些都是我们的终端用户非常重要的经验教训,”罗科说。“人们喜欢它。”
它有助于安全培训也常常适用于员工的个人电脑上使用,他补充说。
安全培训的一个影响是,员工现在报告奇怪的电子邮件或其他发生的事情。这意味着,如果该公司被专门针对,即使一些员工仍然属于网络钓鱼电子邮件,其他人将已经发现了他们,提醒安全团队,有一些事情。
罗科说,也一直在网络上的恶意软件一个强大的下降。
显然,没有制度是完美的。事实上,有两个最近的事件中,两名员工的牺牲品CryptoLocker。当公司经过调查,原来,其中一名雇员没有采取培训,对方收到差了一个档次。
除了袋熊,其他几家厂商都乐意送对你的员工模拟网络钓鱼攻击。它们包括PhishMe财富500强(Fortune 500)中有35家是这家公司的客户。其他人则ThreatSim,SynerComm,PhishingBox和KnowBe4。
但麻省理工学院的技术分析高级主管塞思·罗宾逊表示,这种基于模拟的培训对该行业来说仍属新鲜事物计算机技术产业协会
“我接触过的一些公司谁做了这样的培训,而且也往往是安全培训应该是什么样子的首映例子之一,”他说。“谁也试过公司表现出了一定的成功。”
但全面的,持续的基于模拟的安全培训是罕见的。
他说:“我们的数据显示,没有多少公司在进行认真的培训。”
相反,他说,企业仍然更有可能给安全策略,以新雇用的员工的副本,并要求他们签署。
创造文化转变
当安全培训意味着检查合规框时,很难引起人们的注意,更不用说把它放在心上了。
“但如果良好的安全卫生渗透到一家公司,那么它就可能取得成功,”安永(Ernst & Young)网络安全业务负责人西沃恩·麦克德莫特(Siobhan MacDermott)说。“我们与许多董事会和高级管理层合作,建立安全意识项目。然后我们回头看看他们的行为是否有变化。”
产生影响的主要因素是,这种行为是否由最高层的管理人员所模仿,一直到下一级。
她说:“不能只从人力资源部门执行。”
这篇文章,“安全意识培训真的有用吗?”最初是由CSO 。