导语:在这几年中,安全意识项目的重要性似乎正在呈指数级增长,企业分配给该领域的资源也开始逐渐增加。本文将介绍我认为需要融入安全意识项目中的最重要的因素。
四年前,当我被要求主持一场CSO(首席安全官)活动时,我惊喜地发现,安全文化是与会首席安全官们的首要关注点。凭借执行过许多安全评估和渗透测试的经验,我可以明确地告诉你,如果公司安全文化薄弱,即便是最好的技术安全措施同样不起效用。当然,我很高兴可以看到CSO们正在从盲目追求技术解决方案,向逐渐重视强大的安全文化方面过渡。
在这几年中,安全意识项目的重要性似乎正在呈指数级增长,企业分配给该领域的资源也开始逐渐增加。以下是我认为需要融入安全意识项目中的最重要的因素:
1.获得C级高管(如CEO、CFO、COO等)支持
拥有C级高管的支持无疑将会带来等多的自由、更大的预算以及更多其他部门的支持。任何负责运行安全意识项目的人都应该首先尝试去获取强有力的“靠山”,然后再去关注事情的后续发展问题。
当然,想要获取这种层次的领导人支持也并非易事,但是有一些最佳实践可以帮助你提高成功率,其中包括突出强调安全意识是满足合规性的必备要求,以及加强安全意识培训将最终帮助企业节省资金,尤其是发生钓鱼攻击时,进行过安全意识培训的公司与没有进行过培训的公司效果立现。此外,专门为管理人员提供相关素材,例如突出安全意识重要性的新闻、短讯以及短文等,同样可以帮助获取C级高管的支持。
2.与关键部门进行合作
成功的安全意识项目需要其他部门的参与合作,例如法律、合规、人力资源、市场营销、隐私和物理安全等部门。如果你已经获得了C级高管的支持,那么想要获取这些部门的支持就简单多了。正所谓“唇亡齿寒”,在涉及企业安全的问题上,这些部门通常具有共同的利益,所以它们可能会愿意提供额外的资源,如资金和人力支持。通常情况下,这些部门可以强制执行安全意识工作。例如,法律和合规部门在整个组织中都具有很大的影响力,它们可以强制要求安全意识成为其他流程(例如新员工培训)的必要组成部门。
想要更好地利用这种支持,你需要将这些合作部门的需求与一般的安全意识工作结合起来。同样值得注意的是,大多数企业组织都是需要其他部门参与的。例如,你可能需要公司通讯部门批准并向员工分发材料;而他们可能会制定相关的政策来管理这些材料应该如何进行分配以及这些材料具体使用何种格式等。对于每个部门的特殊需求,你都需要尽快进行了解并与安全意识工作相结合。
3.明确相关性
看起来大多数的安全意识项目都是标准的按章照抄(check-the-box)形式主义项目,其内容无非是一大推随处可见的计算机培训视频。正如2014年,IDG公司旗下的Computerworld成功抵御了“叙利亚电子军”的攻击事件所证明的那样,注重即时信息的安全意识项目可以帮助成功阻断攻击。
据悉,当时叙利亚电子军采取了最常用的社交工程手段,而Computerworld则积极地开展了一个安全意识的项目。员工们在识别钓鱼邮件的格式属于叙利亚电子军的常用格式后,便将这些邮件上报给了公司的安全管理部门。随后,叙利亚电子军又使用了其他一些社交工程的攻击方式,同样, 这些方式也没能成功。
而IDG的安全意识项目之所以能够在Computerworld这个案例中能够成功有效,总结起来是因为这个安全意识项目具有以下几个特点:
· 安全意识培训指南明确了不同员工应该接受培训的深度;
· 安全意识培训与当前或未来的相关性,以及明确了为什么相关;
· 由于明确了相关性以及遭受攻击的后果,对员工提高安全意识是一种激励;
· 员工很明确地了解如何在遭受攻击时进行报告;
· 一旦监测到攻击,企业会及时通知员工;
· 通过技术手段,如阻止对恶意站点的访问,删除未打开的垃圾邮件等等,并且把攻击手段具体描述给员工;
4.确定衡量成功的指标
衡量成功的关键因素之一就是能够证明你的努力是有效的。而想要证实这一点就需要你在启动新的意识项目之前收集相关指标。如果没有确立一个基线,很难证明你的努力是不是取得了预期的成功。
这些指标可以包括对员工态度的调查,此外,也可以在意识培训开始前和完成后使用网络钓鱼模拟工具测试培训成果,或是检查向技术支持部门报告的安全相关事件的数量、病毒事件的数量以及来自web内容过滤器的报告数量——这些报告给出了对被禁止网站的尝试访问次数。
当你可以在安全的任何方面展示可衡量的改进时,你就能够更好地证明自己计划的合理性,并以此获得更多地资金和人力支持。可以说每个公司的每个部门都存在绩效考核指标,来证明其价值,安全当然不应该成为一个例外。
5.成为一个关注“如何做”而非“禁止做”的部门
很多时候,人们会把安全部门视为一个“禁止做”的部门——他们只是专注于告诉人们不可以做什么,但是事实上,人们总能找到方法去做自己想要做的事情(包括被禁止的事情)。虽然我承认,确实有些行为不该被允许,但是那些应该是例外而不是规则。
关注“如何”安全地完成操作的意识培训,一定要比专注于告诉人们不要做什么事的培训更成功。理想情况下,安全意识项目应该告诉人们“如何”在办公室和家中安全地进行信息交互。例如:不要告诉员工他们不应该在办公设备上使用社交网络,而是教他们如何安全地使用社交网络。
6.制定奖励制度
企业可以创建一个奖励计划,根据员工展示的实际行为提供相应的奖励。尽管并不是所有企业都有能力实施这种全面的游戏化项目,但是仍然可以实施一些激励措施来适当地奖励员工的安全行为。
例如:你可以对报告潜在安全事件的员工予以奖励。此类事件可能包括报告网络钓鱼模拟消息等。总之,就是为企业员工找到尽可能多的方式来展示其良好的行为,并创建适当的奖励结构。
7.使用各种类型的意识培训工具
虽然有基于计算机的培训模块的地方,但是太多的项目只是完全依赖它们作为安全意识培训项目。而最成功的项目需要整合各种意识培训工具,包括新闻活页、海报、新闻推送、博客、网络钓鱼模拟程序等等。参与度越高的项目越能取得成功。
另一个需要注意的问题是,素材应该考虑不同的用户群,多样化的素材有助于吸引尽可能多的用户。记住,绝对没有“一码通吃”的安全意识。
总结
这绝不是一个详尽的清单,而是一个很好的起始点。请记住,习惯驱动安全文化,没有任何技术能够弥补安全文化的不足。安全意识项目,只要实施得当,就能够为员工灌输正确的行为指导。尽管大多数安全专业人员都认为,良好的安全行为是一个常识问题,但事实是,常识是需要基于常见的知识才能形成的意识。