网络安全意识 | 以人为本,安全意识工作大有可为

2023年2月18日 172次阅读 来源: 小山峰的编程之路

人是“最薄弱的一环”,还是“最强大的防线”?

根据 Verizon 发布的《2020数据泄漏调查报告(DBIR)》显示,网络钓鱼、利用窃取的账号密码、员工误发送、员工误配置被列为数据泄漏的前四大威胁。不难发现,从近年来的攻击趋势来看,黑客也讲究成本效益,相比利用软硬件漏洞,黑客更倾向于从阻力最小的“人”下手,利用“人的漏洞”即人的行为错误发起攻击,以此绕过企业的层层安全技术防御手段。某种程度上,企业员工对网络安全的冷漠无知、疏忽大意、意识淡薄已成为网络犯罪分子发起网络攻击的“首选武器”。在每个业务流程和信息系统中,人是最基本但也是不可预测的因素。

当人为错误成为造成数据泄露的最普遍原因时,这意味着每一个人都必须承担起自己的相应责任。发挥全员的力量,建立“人力防火墙”,打造企业安全文化是上策。

可喜的是,越来越多的企业开始意识到员工安全意识教育的重要性。安全意识教育作为企业满足合规与监管要求,以及保护企业的数据、信息系统、业务发展和风险管理的基本需求而提出,是企业最值得的安全投入。人是每个组织最重要的资产,各个岗位上的员工也像操作系统,在工作中存储、处理与传输敏感信息。要像保护计算机系统一样,给员工也加上一道防护措施,将“人的漏洞”及时打上补丁。

知识就是力量!对于企业的员工,通过安全意识培训来增加安全知识是防范安全风险的最有效方法之一。通过适当的安全意识培训降低人为错误的风险,如通过对员工进行有关法律法规、数据安全、密码安全最佳实践,以及如何发现社会工程学攻击、网络钓鱼攻击的培训,使员工成为企业安全防御的积极组成部分。接受过全面的安全意识教育、展现良好的安全行为习惯、能够积极识别/预防/汇报安全隐患和事件的员工,可以成为企业信息安全的“最强大防线”,使企业遭受黑客攻击的可能性降低,即使发生安全事件也可以第一时间减少风险与损失。

但仍有很多企业从上至下对于安全意识工作和安全意识岗位的理解并不到位。安全意识工作年复一年地在开展,但管理层往往视为鸡肋,看不到立竿见影的成效,给予的预算和资源支持越来越少;员工将其视为负担,认为枯燥的、无关紧要的培训浪费时间,常常应付了事;安全团队也越来越困惑,不知道如何衡量安全意识培训的效果,不知如何吸引员工主动参与。

没有全员的参与,就谈不上降低“人的因素”所带来的风险。不知道如何证明培训的收益,就无法得到领导的理解与支持,以及缺少预算,结果是造成恶性循环,安全团队也备受打击。

 

安全意识官:使员工从“应付”到“喜欢”上安全

即使有了领导的支持和员工的理解与配合,安全意识工作就能真正做到降低“人的因素”的风险吗?安全意识工作的成败关键在于人,再好的安全意识工具、平台、内容与服务,最终还是依赖于企业的信息安全意识负责人。

什么是安全意识?安全意识是一个组织的成员(内部及外部)所具备的关于保护该组织的信息资产(包括物理资产)的知识、态度和观念。开展安全意识工作是要使员工将“注意力”聚焦于安全,以识别信息安全隐患与风险,并采取适当的行动/响应或做出正确的决策。

什么是安全意识官(SAO)? 安全意识官全面负责管理企业中人的安全风险,通过实施安全意识教育计划,确保企业内部所有员工、外部相关第三方了解、理解并遵守企业的安全管理要求,树立和保持安全意识,践行最佳安全实践,从而降低人的因素引起的安全风险。 

据SANS(SysAdmin Audit Network Security)相关报告:要想安全意识工作取得最大投资回报率,改变组织级的不安全行为,企业必须配备至少1.4名专/兼职安全意识专业人员。另据Gartner相关报告:至2022年60% 的大型企业和组织都将开展全面的安全意识教育计划,并至少配备一名专职人员负责安全意识工作。

规划、实施和管理安全意识计划需要投入大量时间和精力,一个合格的企业安全意识官应该具备这些能力:了解国内外安全意识相关法律法规/标准/指南;具备较强的领导力、执行力与沟通能力、项目管理和变革管理能力,在复杂的组织环境中推动意识、行为与文化变革;具备出色的营销与传播能力、协作能力,能够激励、动员、说服与影响管理层及员工,并建立信任关系,提升参与度;能够有效地改变不同岗位员工的风险行为,使员工自觉践行最佳安全实践;通过长期持续开展安全意识计划,打造有竞争力的企业网络安全文化。

另外,安全意识官还应考虑到人是一种社会性动物,需充分利用社会心理学、成人教育学、组织行为学等知识,巧用认识理论、沟通与激励、影响他人的艺术等,以人为本,因人施教。

在具体实施上,首先要分析员工,尊重员工。不同岗位员工所接触的数据/信息系统不同、权限不同、风险不同,已经掌握的安全技能水平不同,对员工的意识要求也不同。所提供的安全意识教育培训应根据角色和能力水平进行量身定制,培训内容应尽可能地与员工实际工作息息相关。开展基于岗位角色的安全意识培训,意味着员工接受所需内容的培训占用工作时间更少,将更多时间专注于生产性业务工作,可以降低员工排斥感,提升参与度。以对企业各部门最有意义的方式设计培训内容,以有趣、好玩、互动的形式,让安全意识渗透和应用到日常工作的活动中去。

其次是正向强化,激励员工。有效的行为改变和巩固安全行为,需要合适的激励措施配合。建立一套激励计划,对于发现和报告钓鱼邮件、挫败可疑的黑客攻击企图、完成了意识培训必修课、积极分享与贡献安全知识、过去12个月没有发生安全违规行为等方面的员工,及时予以肯定、表扬和奖励。可考虑获取HR与业务部门支持,将安全意识学习与入职转正、绩效评估、职业晋升、证书勋章、积分换礼品等挂钩。

安全意识工作绝不是贴贴海报、喊喊口号,玩文字游戏、做表面功夫,一定要落实到员工的价值观念、思维方式和实际行为中去,这种转变不是一朝一夕可以发生的,总会遇到一些阻力,总会有一些同事或部门不喜欢变化,回到不安全的老路上。安全意识官需要结合企业自身业务特点及人员风险特点,不断摸索、优化、创新企业安全意识计划最佳实践。

    原文作者:小山峰的编程之路
    原文地址: https://blog.csdn.net/jojo705/article/details/109380059
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞