在防範網絡犯罪的程序中,企業員工正在迅速發展成為最薄弱的一環:常識隻能保證我們走完一程,僅此而已,而且還要確定圍繞安全所采取的最佳實踐不被當作耳旁風,左耳進右耳出。不論是員工無意間所犯的錯誤,還是其已被黑客鎖定并通過他們來擷取敏感資訊,員工一旦犯錯都可以輕易地為惡意軟體和資訊竊取大開友善之門。
攻擊成功通常是因為程序不暢和利用人為的傾向。為了減少企業的威脅面,需要将定期員工教育訓練的重點從反應轉向防禦。在員工安全教育訓練中,純粹的以合規為導向的方法已被證明對企業無效,這種枯燥的教育訓練方式已經不足以激發員工的想象力。企業應側重教育員工如何保護他們的個人資料,進而鼓勵員工在工作場所采取進一步的安全導向的做法。
可以采取多樣化的員工教育訓練方式,其中便包括日益流行的“遊戲化”網絡安全教育項目。遊戲化指的是将遊戲機制運用于非遊戲情境當中,利用遊戲中某些令人興奮的元素,将其應用到其它類型的不那麼有趣的活動當中。由于引入了競争和獎勵等元素,遊戲化項目日益受到大衆歡迎,在各個行業被廣泛采用。
目前,有不少企業将遊戲化項目應用于實踐以提升績效和積極性,包括客戶參與和員工教育及教育訓練。其中,遊戲元素包括一對一競賽和獎勵計劃等。
如何以遊戲化的方式來解決所在企業的安全問題,以下兩種關鍵方法可供企業管理者采用:
增強教育訓練趣味性,提升員工參與度
遊戲化項目可助力企業以多種方式提升網絡安全性,比如,向員工展示避免網絡攻擊的技巧以及學習如何甄别軟體漏洞。全球咨詢公司普華永道通過其“威脅遊戲”來傳授網絡安全知識。高管們在現實世界的網絡安全環境中進行對抗,扮演攻擊者和捍衛者的角色。攻擊者選擇攻擊的政策,方法和技能,而捍衛者制定(防禦)戰略,投入正确的技術和人才來應對攻擊。該款遊戲讓高管們了解了如何準備和應對威脅,公司的準備情況以及他們的網絡安全團隊每天需要面對的問題。
遊戲化有利于增強員工教育訓練的趣味性,提升員工參與的積極性,提高員工對網絡安全實踐的認識,其中便包括如何正确處理攻擊。
提供獎勵來鼓勵良好行為
大多數安全漏洞皆由人為失誤所緻,這是因為員工要在規定期限内盡量快地完成工作,往往會忽視公司相關安全的重要政策。
例如,開展一種稱為“來釣我”(PhishMe)的活動便是教育訓練員工電子郵件安全的一個行之有效的途徑,這包括定期在企業内發送釣魚郵件,對員工的反應以及行動進行測試。
遊戲化使得企業能夠對那些遵守安全流程和堅持正确安全指導方針的員工予以獎勵,此舉将促進良好行為的進一步養成。這種遊戲化活動可以表現為,授予員工徽章或積分點數形式,在積分闆上進行展示,進而形成整個辦公室你追我趕的局面。在某些企業,如果有員工達到一定要求後,他們會獲得一份諸如禮券之類的物質獎勵。
此外,該系統還有助于發現那些在遊戲化活動中表現不佳的人員,進而完成更進一步的網絡安全教育訓練。
當員工表現良好時,對其認可并予以獎勵,能夠促使他們更加積極工作,激勵其采取安全措施,創造更加安全的網絡工作環境。
任何一個以安全意識為主的教育訓練,其核心便是教育員工要對他們在工作中所處理的資料以及他們在家建立和使用的資料負有同等責任感。所有圍繞安全意識進行的活動都應該保持持續性,而非一次性行動。不論企業規模是大是小,上司者有時可能會覺得他們缺乏有效的能夠推動網絡安全教育活動所需的資源,其實這種活動也可以以經濟實惠的方式來進行。
視覺材料有助于工作的開展。從一些小視訊,海報和/或競賽開始,讓每一位員工都能抓住重點資訊,那就是確定安全是每個人的責任。
“下馬威”戰術不起作用了。企業的目的是要網絡安全在員工中形成共識和文化,是以需要将企業的這種遊戲化活動視作一種市場活動,其目的是說服員工改變其行為。
言簡意赅,效果最好。長電子郵件總是被忽略。保持郵件的簡短和有趣,同時要注重采用上行下效的方法,即員工總是在效仿他們的上司,如果上司都不重視網絡安全文化,那又怎麼能要求其員工也重視呢?這種做法的目的是教育員工采用最佳實踐,而不是逼迫他們成為安全專家。是以要保證這種方式有趣,能夠博人一笑,這樣確定每個人可以在同一時間對其形成深刻了解。
強化和跟進是關鍵。教育訓練是一個持續的過程,要做到向那些行之有效的方法學習,必要時接受再教育。要重新對你的新老員工進行測試,檢查他們是否會落入釣魚郵件的圈套,檢查有哪些員工仍舊對假冒郵件難辨真僞。鼓勵員工就虛假資訊及時溝通和通報,鼓勵落後部門向先進看齊。我們的目的不是讓單個員工拔尖,而是在企業内部形成健康有序的競争機制。
盡管消除業務中的網絡風險需要一個持續的過程,但這些風險是可以進行管理的。我們需要一套行之有效的方法,鼓勵員工有疑問便能夠說出來,如有必要提供再教育。如果有員工還未接觸安全意識項目,但卻在點選惡意軟體之前就能提出疑問,就說明您已經掃除了障礙,進而使網絡環境變得更加安全了。
本文作者:Sean Duca
來源:51CTO
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)