鬆散的嘴唇也會沉沒船隻和公司
貴組織是否認真對待安全? 您的用戶是否知道如何抵禦社交工程攻擊? 貴組織的便攜式設備是否啟用了數據加密? 如果您對這些問題中的任何一個回答“否”或“我不知道”,那麼您的組織不提供良好的安全意識培訓。
維基百科將安全意識定義為組織成員在保護組織機構和信息資產方面所具有的知識和態度。
簡而言之:鬆散的嘴唇沉沒船隻。 查理布朗認為這就是安全意識的重要內容。
如果您對貴組織的信息資產負責,那麼您一定要製定和實施安全意識培訓計劃。 目標應該是讓你的員工意識到世界上有不好的人想竊取信息並破壞組織資源。
一個良好的安全意識培訓計劃將灌輸貴組織數據和資源的所有權感。 員工將看到組織面臨的威脅是他們的生計威脅。 一個不好的安全意識培訓計劃會讓人產生偏執和怨恨。
讓我們看看一些關於創建有效的安全意識培訓計劃的技巧:
教育用戶了解他們可能遇到的現實世界威脅的類型
安全意識培訓應包括對用戶進行安全概念教育,例如識別社交工程攻擊,惡意軟件攻擊,網絡釣魚策略以及他們可能遇到的其他類型的威脅。 查看我們的Fight網絡犯罪頁面,查看網絡犯罪威脅和技術列表。
教授密碼構造的失落的藝術
雖然我們很多人都知道如何創建一個強大的密碼 ,但仍然有許多人沒有意識到破解弱密碼是多麼容易。 解釋密碼破解的過程以及脫機破解工具(如使用彩虹表的那些工具)的工作方式。 他們可能不了解所有的技術細節,但他們至少會看到破解構造不好的密碼是多麼容易,這可能會激勵他們在創建新密碼時有更多創意。
關注信息保護
許多公司告訴他們的員工在午餐時不要討論公司業務,因為你不知道誰可能會聽,但他們並不總是告訴他們看他們在社交媒體網站上發表的言論。 如果您的隱私設置過於寬鬆,您可能會看到您的狀態信息的競爭對手有一個簡單的Facebook狀態更新,說明您正在處理的產品將不會及時發布,這會對您的工作產生多麼的憤怒。 教你的員工散佈推文和狀態更新也沉沒船舶。
競爭對手公司可能會觸動社交媒體尋找競爭對手的員工,從而獲得產品智能的優勢,誰在研究什麼等。
社交媒體在商業世界中仍然是一個相對較新的領域,許多安全管理人員在處理這個問題上很難。 在公司防火牆阻止它的日子已經結束。 社交媒體現在是許多公司商業模式的組成部分。 教育用戶他們應該在Facebook , Twitter , LinkedIn和其他社交媒體網站上發布的內容。
有潛在後果備份你的規則
沒有牙齒的安全策略對您的組織來說不值得。 獲得管理層認同並為用戶行為或不作為創造明確的後果。 用戶需要知道他們有責任保護自己擁有的信息,並儘力保護其免受傷害。
讓他們知道,洩露敏感信息和/或專有信息,篡改公司資源等方面都有民事和刑事後果。
不要重新發明輪子
你不必從頭開始。 美國國家標準與技術研究院(NIST)已經寫了關於如何開展安全意識培訓計劃的書,最重要的是它是免費的。 下載NIST 800-50特別出版物 - 建立信息技術安全意識和培訓計劃,學習如何製作自己的。