实施安全意识计划的最佳实践

安全资讯 小布 456浏览 0评论

无论您的网络安全基础设施的成熟度和复杂程度如何,您的 IT 环境的安全性都取决于您员工的威胁意识和养成的习惯,这些习惯提供了一个关键的威慑因素。 遵循实施安全意识计划的最佳实践将帮助您培养员工的网络威胁情报和良好习惯。

 

实施安全意识计划的最佳实践

培养安全意识需要认真的、全组织范围的方法和积极遵守既定政策的员工。也就是说,要让员工了解政策、政策存在的原因以及支持政策的实践,他们需要接受专门的培训。

虽然您可以为您的组织提供许多不同的资源和工具,但实施安全意识计划依赖于遵循一组通用步骤以获得最有效的结果:

  1. 了解您组织的安全意识成熟度
  2. 建立您的安全基线和意识计划
  3. 有效开展培训
  4. 测试员工以进一步接受培训
  5. 重新审视培训以教育员工了解最新和新兴的网络威胁

这些步骤是周期性的,因为您的培训师需要了解最新的网络威胁、方法和模式,并在进行必要的调整之前重新审视组织政策。一旦修订,培训师可以为员工提供更新的培训,刷新他们的记忆并通知他们任何变化。为了简化管理,考虑与第三方专家合作,如果不是完全外包的话。

 

#1 了解您组织的安全意识成熟度

为最终目标制定路线图始终取决于您的起点。确定起点的一种方法是使用SANS Institute 设计的安全意识成熟度模型,该模型可帮助组织确定其计划的复杂性并指导改进工作。

安全意识成熟度模型包括五个不同的级别:

  1. 不存在– 级别 1 的组织没有意识计划,也不会尝试就政策或网络威胁以及缓解这些威胁的最佳实践对其员工进行教育。
  2. 以合规为重点——级别 2 的组织主要侧重于对员工进行有关他们在工作活动中必须遵守的合规要求的教育。虽然员工接受了与合规相关的培训,但他们通常不了解安全政策以及事件报告和响应程序。错误的安全感是最严重的危险。
  3. 促进意识和变革——级别 3 的组织积极为其员工提供安全意识培训,以改善他们的习惯。达到 3 级代表成熟度的实质性进展,需要有目的的规划。3 级组织的员工了解既定政策,并定期接受有关最相关网络威胁和预防策略的教育。
  4. 长期可持续性– 级别 4 的组织采取积极主动的方法,至少每年定期更新其安全意识计划。达到第 4 级需要将预算资源用于更新培训内容和交付方法。
  5. 指标– 级别 5 的组织已确定用于衡量其安全意识计划有效性并持续改进的指标。在最高成熟阶段使用的指标可以洞察员工的行为变化,而不仅仅是跟踪谁完成了培训。潜在指标包括以下数据:
    • 培训主题与行为变化之间的相关性
    • 表现出特定网络威胁漏洞的业务部门
    • 检测到的事件
    • 防止攻击

大多数组织都属于 1 级和 2 级。达到第 3 级代表最重要(也最具挑战性)的成熟度跃升,因为第 4 级和第 5 级针对长期计划目标和进一步完善。一旦确定了自己的成熟度,实施安全意识计划(或改进计划)的最佳实践包括确定您的组织与下一个级别的区别以及如何进步。

 

#2 建立您的安全基线和意识计划

虽然大多数组织已经有一定程度的映射合规性工作、编码的安全策略和概述的响应程序,但在实施安全意识计划之前对其进行审查是明智的。这样做可确保您使用最新信息培训员工。

您不希望必须立即重新访问培训并使员工的理解复杂化,因为意识计划的信息已经过时。要建立您的安全基线:

  • 映射法规遵从性工作——大多数组织必须遵守监管其行业或活动的法规,并为其网络安全基础设施和流程指定最低标准。在编写安全政策之前,您的员工将接受培训,识别并映射所有适用框架中的各种要求,以确保它们适当和互补地包含在内。
  • 编纂安全策略– 一旦您映射了合规性要求,您就可以建立(或更新)组织安全策略。在重叠的那些要求中确定最严格的要求,将它们设置为要遵循的最低标准。
  • 大纲响应程序——务实的培训并不仅仅停留在重申的安全政策上。以下是一些需要响应程序的事件示例:
    • 如果您必须根据员工的“需要知道”来限制数据访问,那么员工在发现某人获得了不合规授权后应该如何采取行动?
    • 如果员工识别出网络钓鱼企图,是否为他们提供警报按钮以通知您的安全团队?
    • 如果员工认为他们的帐户凭据已被盗用,他们是否知道应该通知谁以及他们应该采取的缓解措施?

 

确定培训启动事件和相应的清单

员工或组织事件(例如入职、离职或发生违规事件后)应启动特定培训。管理您的安全意识计划的团队必须设计这些,并得到主题和材料清单的支持。

例如,新员工可能必须在第一周完成自动化培训活动,或接收并查看以下材料:

  • 安全手册(或将他们引导至员工手册中的专门部分)
  • 基于角色的安全流程
  • 事件响应行动计划和清单

您的安全团队还应确定定期培训的频率。您实现安全意识计划的各个方面和频率的自动化。

 

#3有效开展安全意识计划培训

实施成功的安全意识计划需要有效、引人入胜的培训。虽然您的计划可能包括向员工发送资源(例如,安全政策文件或视频)供他们阅读,但还应定期进行小组培训并鼓励他们积极参与。

例如,您的组织可以提供季度午餐,召集所有人参加员工意识培训,以查看最新的安全策略更新和网络威胁。但是,请考虑让他们坐下来进行 PowerPoint 演示的替代方法,这会导致他们的思绪徘徊。

也许您在前一周举办了一场比赛,让人们找到并提交有关与主题相关的网络安全事件的文章,并为“最奇怪”等类别颁奖。员工将被激励在讨论前进行自己的网络安全研究,因此更有可能准备问题并提出想法。

 

#4 测试您的员工以进一步接受培训

您可以为员工提供的最佳安全意识计划将测试他们的知识。例如,自动培训活动可能会在课程结束时提供交互式测验。

一种标准的测试方法是使用不同的伪装随机向员工发送虚假的网络钓鱼电子邮件。如果他们无法识别虚假的网络钓鱼尝试,您可以记录此信息以评估安全意识计划指标,并向他们发送额外的培训材料以供审核。例如:

  • EZXploit – 全自动“人工渗透测试”
  • AIDA(人工智能驱动代理) ——多向量社会工程攻击(例如,电子邮件、文本、语音邮件)

您可以通过奖励得分最高的员工来游戏化培训测试。但是,请避免任何阻碍或公开羞辱,以免助长负面文化或偏执狂。

 

#5 重新审视您的安全意识计划并重复培训

必须定期评估员工意识培训以整合新信息。网络威胁不断发展,您的安全意识计划也应如此。要达到 SANS Institute 成熟度模型的 4 级,至少需要每年更新一次。达到 5 级需要根据收集的事件和员工行为数据调整计划。

但是,程序修订取决于您的安全团队的意识,因此为他们提供最前沿的网络威胁情报培训将使他们了解情况。

 

转载请注明:布尔云安的博客 » 实施安全意识计划的最佳实践

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址