3个行动帮助你培训更多精通网络安全的员工

有多少员工完成了上次的网络安全意识培训?有多少人点击了你的钓鱼诱饵测试?大多数安全和风险负责人都会定期测试网络安全，并报告这些指标，但这并不意味着他们实际上减少了组织对人为风险的暴露网络安全风险．

“你需要让员工成为检测和抵御社会工程攻击的控制者，但安全和风险领导者往往无法提供安全意识计划，从而在员工行为中产生有意义的变化，”他说威廉•CandrickGartner主管分析师。

立即下载:防止员工上网络诱饵的3个步骤

网络罪犯已经成为社会工程方面的专家，他们使用越来越复杂的技术诱骗员工点击恶意链接。安全负责人有责任向员工提供信息和技术，以更好地抵御这些攻击。

随着员工使用的越来越多，远程工作只会增加风险家庭网络和个人设备并对潜在的威胁做出自己的快速决定。坎德里克说:“坐在家里的办公室里，员工再也不能随便转向旁边的同事，问一封电子邮件看起来是否真实。”

网络攻击日益增多

Gartner在2020年调查的所有董事会中，近一半的人将网络安全视为其企业的首要风险来源。而且风险只会越来越大。

最近的行业研究证实，疫情促使网络犯罪分子更多地使用成熟的攻击策略:

• 美国数据泄露的平均成本从2019年的819万美元增加到2020年的864万美元。¹
• 2020年，36%的数据泄露涉及网络钓鱼，16%涉及凭证被盗。²
• 85%的数据泄露与人为因素有关，而10%的数据泄露与勒索软件有关。²
• 2012年第一季度的平均赎金金额为220,298美元。^3.

攻击的数量，以及人类在允许这些攻击中的关键作用，使得企业安全意识计划传授知识以测试和建立员工对网络风险的理解变得更加重要。

但是，更重要的是，这些安全意识项目需要教授和加强实践，使员工能够在组织中发现可疑活动时识别和响应，并避免在敏感数据上犯错误。

立即下载:日趋成熟的资讯保安路线图

加强安全意识项目的有效性

关注安全意识战略的三个关键组成部分将有助于安全和风险管理领导者确保他们在安全意识计划上进行适当的投资，并且他们实际上正在改变最终用户的行为，以减少员工造成的风险。

安全意识策略的三个关键组成部分是:

行动一:设定愿景

首先，建立远景声明，列出组织实现其战略目标所需的安全行为。

通过一个由来自整个组织的代表组成的跨职能工作组(包括核心业务线和支持功能)来完成此工作。获得高级管理层的批准。

跨职能团队必须制定一份声明，体现安全意识计划的“最终状态”或愿望，并应在整个组织中引起共鸣，为员工提供切实的指导。

简单的例子包括这样的陈述:“我们的员工是我们最大的安全武器”或“我们有一支具有安全意识的员工队伍”。

阐明如果组织达到其期望的安全意识最终状态，将显示哪些签名行为。签名行为是那些清楚地反映最终用户对实现安全意识愿景的积极意图和支持的行为。

行动2:定义具体的、可衡量的期望行为

任何企业安全意识计划的核心价值主张都应该是塑造员工的行为，以减少安全事件的可能性和/或影响。Gartner提倡使用结果驱动指标(ODM)来表示与愿景中的行为陈述相一致的运营和/或效益结果。

强制性完成率和知识检查结果指标来自大多数安全意识计算机培训平台提供的标准报告。这些是衡量有多少最终用户完成了安全意识培训以及理解起来有多容易的有用指标。

这是有用的信息，但并没有表明一个有效的安全意识程序可以降低风险或提供其他无关的业务利益。odm衡量的结果可以与可衡量的保护效益联系起来。

行动3:将行为与可衡量的商业利益联系起来

一旦对odm进行了整理，将这些见解与高层领导真正关心的业务驱动因素联系起来。

首先衡量人为产生的网络风险的根本原因，如果得到改善，这些风险将带来好处——例如，由数据滥用或人为错误引起的网络安全事件的数量。如果你的意识程序有效地发挥作用，这些指标应该随着时间的推移而改善(如果它们不有效，你知道要改进什么)。

然后将这些收益结果与业务驱动因素和收益联系起来——这将与大多数组织的收入/增长、成本管理、风险管理和品牌声誉联系起来。

1《2020年数据泄露成本报告》，IBM Security

Verizon 2021年数据泄露调查报告

3 Coveware勒索软件季度报告