2021年7月28日
2021年7月28日
撰稿人:Jackie Wiles
你可以把你的员工变成网络安全倡导者,但前提是你的安全意识项目真正起作用。用这三个行动来支持你的主动性。
有多少员工完成了上次的网络安全意识培训?有多少人点击了你的钓鱼诱饵测试?大多数安全和风险负责人都会定期测试网络安全,并报告这些指标,但这并不意味着他们实际上减少了组织对人为风险的暴露网络安全风险.
“你需要让员工成为检测和抵御社会工程攻击的控制者,但安全和风险领导者往往无法提供安全意识计划,从而在员工行为中产生有意义的变化,”他说威廉•CandrickGartner主管分析师。
立即下载:防止员工上网络诱饵的3个步骤
网络罪犯已经成为社会工程方面的专家,他们使用越来越复杂的技术诱骗员工点击恶意链接。安全负责人有责任向员工提供信息和技术,以更好地抵御这些攻击。
随着员工使用的越来越多,远程工作只会增加风险家庭网络和个人设备并对潜在的威胁做出自己的快速决定。坎德里克说:“坐在家里的办公室里,员工再也不能随便转向旁边的同事,问一封电子邮件看起来是否真实。”
Gartner在2020年调查的所有董事会中,近一半的人将网络安全视为其企业的首要风险来源。而且风险只会越来越大。
最近的行业研究证实,疫情促使网络犯罪分子更多地使用成熟的攻击策略:
攻击的数量,以及人类在允许这些攻击中的关键作用,使得企业安全意识计划传授知识以测试和建立员工对网络风险的理解变得更加重要。
但是,更重要的是,这些安全意识项目需要教授和加强实践,使员工能够在组织中发现可疑活动时识别和响应,并避免在敏感数据上犯错误。
立即下载:日趋成熟的资讯保安路线图
关注安全意识战略的三个关键组成部分将有助于安全和风险管理领导者确保他们在安全意识计划上进行适当的投资,并且他们实际上正在改变最终用户的行为,以减少员工造成的风险。
安全意识策略的三个关键组成部分是:
首先,建立远景声明,列出组织实现其战略目标所需的安全行为。
通过一个由来自整个组织的代表组成的跨职能工作组(包括核心业务线和支持功能)来完成此工作。获得高级管理层的批准。
跨职能团队必须制定一份声明,体现安全意识计划的“最终状态”或愿望,并应在整个组织中引起共鸣,为员工提供切实的指导。
简单的例子包括这样的陈述:“我们的员工是我们最大的安全武器”或“我们有一支具有安全意识的员工队伍”。
阐明如果组织达到其期望的安全意识最终状态,将显示哪些签名行为。签名行为是那些清楚地反映最终用户对实现安全意识愿景的积极意图和支持的行为。
任何企业安全意识计划的核心价值主张都应该是塑造员工的行为,以减少安全事件的可能性和/或影响。Gartner提倡使用结果驱动指标(ODM)来表示与愿景中的行为陈述相一致的运营和/或效益结果。
强制性完成率和知识检查结果指标来自大多数安全意识计算机培训平台提供的标准报告。这些是衡量有多少最终用户完成了安全意识培训以及理解起来有多容易的有用指标。
这是有用的信息,但并没有表明一个有效的安全意识程序可以降低风险或提供其他无关的业务利益。odm衡量的结果可以与可衡量的保护效益联系起来。
一旦对odm进行了整理,将这些见解与高层领导真正关心的业务驱动因素联系起来。
首先衡量人为产生的网络风险的根本原因,如果得到改善,这些风险将带来好处——例如,由数据滥用或人为错误引起的网络安全事件的数量。如果你的意识程序有效地发挥作用,这些指标应该随着时间的推移而改善(如果它们不有效,你知道要改进什么)。
然后将这些收益结果与业务驱动因素和收益联系起来——这将与大多数组织的收入/增长、成本管理、风险管理和品牌声誉联系起来。
1《2020年数据泄露成本报告》,IBM Security
Verizon 2021年数据泄露调查报告
3 Coveware勒索软件季度报告
与您的同行一起在Gartner会议上发布最新见解。
推荐给Gartner客户的资源*:
*请注意,某些文档可能不适用于所有Gartner客户。