安全意识计划的十大建议

我们如何改善组织中的安全文化?现在是时候再看看安全意识计划的工作了。

by / March 9, 2014

我们如何改善组织中的安全文化?我们的安全团队一直回到这一基本问题,我们不断寻找帮助的方法。

为什么?文化变革是我们安全计划和几乎有技术或创新项目的关键成功因素。我们继续问:有更好的方法吗?

但即使作为新的移动解决方案和云计算改变我们的生活方式和工作方式,行业专家们指出了追求安全文化变革的许多挑战。

最重要的一种方法之一是通过建立(并不断改进)根据业务需求的特定员工的所有员工和安全培训的强大安全意识计划。

这个主题几乎到处都是到处。结束用户点击链接,放弃密码或插入恶意软件感染的USB驱动器是本周出现的主题 奥克兰大学的网络峰会.

作为回应,加强安全文化被列为许多全球安全报告中的首要任务,包括这一点 英国案例研究是去年年底发布的 。 这里 ’s an excerpt:

系统的安全性取决于使用它们的人。有效的机构对风险和实施安全做法的评估依赖于对机构面临的威胁和挑战的共同谅解….

大学应考虑如何在其机构中嵌入网络安全实践和责任的知识。这范围从需要年度积极确认接受使用网络或某些部分的术语和条件,通过培训和教育计划。 2011年UCISA卓越奖上传到莱斯特大学,该大学领导了大学的联盟,该大学在高等教育机构开发了一个在线信息安全培训。珍妮特还为IT人员提供了一些与安全相关的课程…

最近由此引用的另一名研究 电子时报  found:

最近的一项调查中的80%的企业安全专业人士和IT管理人员"最终用户粗心"对他们的组织构成最大的安全威胁,超越了恶意软件或组织黑客攻击所带来的永远存在的危险。
用户对安全的骑士态度进一步加剧了通过执行计算机安全策略来支持其安全管理员的企业高管进一步加剧….

一个人 - TrustWave奠定了 七个未受教育员工的致命罪 在这种严重的图形中,在指向缺乏意识培训时做出优秀的工作可能会导致更多的数据泄露。

为什么安全意识计划?有什么好处?

当然,这个话题不是新的。如果读者没有听到大部分这些相同的网络认识主题,那就令人惊讶。

例如,俄勒冈州委员会于2006年委托研究“确定向州雇员提供安全意识培训的最佳方式,并制定实施计划。”他们的研究基于广泛的研究,严格的标准,a“特别强调IT和商业标准,法律法规和官方指导” and much more.

俄勒冈州确定了该研究中的18个最佳实践–有一个概述可用 这个oregon.gov网站 .

在过去的八年里,许多好处和 潜在的缺点  安全意识方案无数次争论。

在去年年初,Ira Winkler写了这篇文章 成功安全计划的7个要素.

CSO杂志的执行编辑Joan Goodchild提供此幻灯片 9个提示,技巧和安全意识课程.

十个建议需要考虑

阅读通过这些众多报告,提示,最佳实践,文章和白皮书进行了审查的作品和何种内容’T,这里是我在尝试构建或改善安全意识计划时考虑的十大推荐。我的目标是保持这种简单,但更新2014年的列表。我计划至少每年回到此列表以进行最新更新。

I’ve将此部分划分为两个列表– the Do’s and the Don’ts...

五不 ’Ts:

1) 大学教师’T保持您的现状。 一个网络意识计划,内容’多年来更新了员工浪费’时间。我们的团队听到这条消息大声清晰。

在密歇根州, 我们在2012年摆脱了我们旧的用户意识计划 并从头开始。为什么?我们的旧意识计划被视为无聊,无关紧要,太长,过时甚至“Death by Powerpoint.”经过竞争力的RFP过程,我们使用了一套新的解决方案 安全导师  对于网络意识和 密歇根州网络范围  用于技术培训。关于我们的屡获殊荣的方法的更具体细节可以在我们国家CIOS协会(Nascio)项目简介

2) 大学教师’依赖视频或PowerPoint幻灯片作为提高认识程序的主要频道。 几项研究,包括这个 从2013年从安全Mentem开始白皮书,发现接合最终用户的互动材料在实现结果方面比仅使用一系列意识视频更有效。事实是很多员工’要注意视频。有些偶甚至开始视频,让他们的书桌留在洗手间,与邻居交谈或喝咖啡,然后回来看看视频是否结束。

但是,有趣的,用户创建的视频,例如那些作为其中的一部分开发的视频 教育2013年视频比赛,可以帮助作为补充内容来创造办公室的能量和兴奋。

3) 大学教师’T将网络认识计划混淆了安全培训。 IRA Winkler在这方面使这一点很好 黑暗阅读文章 : “安全培训为用户提供有限的知识,通常是短期理解的测试…。安全意识课程努力改变个人的行为,反过来加强安全文化。意识是一个持续的过程。这不是一个程序,告诉别人害怕检查他们的电子邮件。该学科需要一个不同的知识,技能和能力。”

4) 大学教师’忘记了任何人,唐’T做安全意识可选的额外。正如俄勒冈州在2006年的研究中指出,每个人都在提高安全方面发挥作用。整个企业需要安全意识,因为最薄弱的安全链接通常是单击错误链接的员工。

5) 大学教师’t仅关注遵守或让人感知“check the box" exercise. 毫无疑问,您需要为PCI-Compliance,HIPAA-Compliance提供安全意识计划,遵守联邦法规 或其他合规原因。但随着您的技术和业务变化,网络安全意识需要成为一个不断改进和适应的过程。主要目标是以务实的方式改善安全文化。文化变革需要数年和艰苦的工作,所以这是胜利’T是一个简单的努力。

五个dos:

1) 确保高管支持和管理层购买。 最终用户意识必须具有顶级高管和中间管理人员的完整和声乐支持,以便成功。当顶级高管通过示例和参与本身牵引时,密钥消息应理解为群众很重要。以示例领导是关键。偶尔的主要Execs和Managers 将有必要保持轨道上的东西。

2) 让它变得乐趣–如果可能的话,使用游戏处理和交互式内容。 Brief, intriguing, "sticky"内容是关键。更相关和及时,更好。是的,提醒员工的重要安全政策。但是也 通知您的人们有关矛网络钓鱼技术的风险, 或者在他们的个人和专业生活中帮助他们的新东西。添加竞争或其他证明是有效的学习技术。

3) 包括海报,新闻通讯,电子邮件提示,博客和提醒, 国家网络安全意识月 and more. 不同的人以不同的方式学习。有许多来源可以帮助提供新的和刷新的安全信息,例如来自多状态信息共享的免费资源& Analysis Center ( MS-ISAC. ) 和 Sans新闻  for technical staff.

4) 专注于改变行为。将网络意识与个人生活,家庭和家庭相关联。 我们的目标是改变文化并改善安全。如果人们做出良好的决定并以每天和每天减少风险的方式行事,这才能发生这种情况。此外,许多研究表明,如果可以使用(甚至共享)办公室外 - 与家人和朋友在家中使用(甚至共享),员工会更加关注。

5) 征求最终用户的想法,鼓励反馈,衡量计划的成功和增长。 确保衡量了您的意识计划。有多少用户实际完成培训?他们喜欢什么?他们学到了什么吗?有行为改变了吗?另外,要求新的想法和建议改进。鼓励创造力。提供从员工获取实时数据的机制。

强调网络意识势在必行

确实,几个高调 安全领导人已经反对安全意识计划 在过去的几年里。他们希望在改进技术部署,工具和技术流程以获得安全的情况下重点关注100%的安全工作。

不仅做了 我不同意那些看法遵循这种方法,坦率地是不负责任的。审计师和合规组织需要安全意识,但更重要的是,它是Cisos的核心责任 或其他顶级安全领导者。如果您的组织中没有特定的网络安全领导者,最高技术领导者(或人力资源部)必须负责任并对安全意识计划负责。

就像医生解释 保持健康所需的行为或描述物理治疗步骤的护士 necessary to recover 在运作后,安全优势需要教育员工,了解如何保护网络空间中的主题。最终用户可以 提供知情明智的决策,以减少对数据和网络的风险。健康的生活方式确实产生了积极的差异 - 离线和在线。

矛网络钓鱼 作为黑客使用的顶级方法,以获得未经授权访问敏感数据的访问表明最终用户意识计划的重要性。我们企业内的每位员工都必须意识到他们都是一个大资产,同时也是最伟大的安全漏洞之一。

总之,主要的网络安全公司喜欢 赛门铁克强调安全意识计划的重要性。他们敦促客户使个人责任成为安全计划的主要组成部分。

此外,新的安全方法正在从几个网络启动公司中出现,该公司使用最新的学习技术来帮助组织改变其安全文化。

底线,随着组织重新计算他​​们的技术基础设施,安全架构,智能手机的使用,有关社交媒体的政策以及商业领域的大数据的创新方法,也是时候进行了新的安全意识计划。

提高您的安全文化取决于它。

 


永远不会错过每日Govtech今天的故事时事通讯。

订阅


丹洛姆曼 安全Mentor Inc.的首席安全官兼首席战略师

Daniel J. Lohrmann是一个国际公认的网络安全领导者,技术专家,主题演讲者和作者。

在他杰出的职业生涯中,他在各种行政领导能力方面担任了公共和私营部门的全球组织,接受了众多国家奖项,包括:今年的CSO,今年公共官员和计算机世界总理100 IT领导者。
Lohrmann领导密歇根政府’从2002年5月到2014年5月的C网络安全和技术基础设施团队,包括企业全社会首席安全官(CSO),首席技术官(CTO)和密歇根州的首席信息安全官员(CISO)角色。

他目前担任首席安全官(CSO)和安全Mentor Inc.的首席战略家,他正在领导安全导师的发展和实施’S业界领先的网络培训,咨询和讲习班,为公共和私营部门的最终用户,管理人员和高管。他建议了白宫,国家州长协会(NGA),国家CIOS(Nascio),美国国土安全部(DHS),联邦,州和地方政府机构,财富500强公司,小企业和非营利机构。

他在计算机行业拥有30多年的经验,从国家安全局开始他的职业生涯。他在英格兰工作了三年,作为洛克希德马丁(前任Loral Aerspace)的高级网络工程师,并四年是美国/英国军事设施中曼特国际曼特国际技术总监。

Lohrmann是两本书的作者: 虚拟诚信:忠实地导航勇敢的新网站BYOD for You:带上自己的设备的指南。 他是来自南非的全球安全和技术会议的主题演讲者,到迪拜以及来自华盛顿,D.C.,莫斯科。

他掌握了巴尔的摩约翰霍普金斯大学的计算机科学(CS)的硕士学位,以及印第安纳州瓦尔帕莱索大学的CS学士学位。

在推特上关注Lohrmann: @govcso
 

E.Republic平台& Programs