安全教育培训计划—安全生产教育培训主要内容
从理论到实践:设计成功的安全意识培训计划
网络安全是一项团队运动;从人力资源到财务再到 IT,每个人都发挥自己的作用。这就是为什么我从来不喜欢“人为错误”或“人类是你最薄弱的环节”这个词。
这是真的吗?大概。但如果这是一项团队运动,大部分责任都应该落在教练身上。需要有人对您的员工进行教育,并为他们提供有效的知识和工具。要成为一名优秀的教练,您需要一个能够推动真正的员工变革的安全意识培训计划。
我们刚刚向客户询问了他们的安全意识计划,其中 90% 的人告诉我们,他们已经创建了一种“强大的网络安全文化”,“使他们的组织更加安全和具有网络弹性”。2021 年,85% 的违规行为涉及人为因素。2022年,这一比例为82%。今年,这一比例下降至 74%。
那么,创建安全意识计划需要做什么?教练应该将哪些安全意识最佳实践纳入他们的计划中?让我们将其分为五个关键步骤。
安全意识培训计划的主要目标之一是转变您的网络安全文化。这就是为什么我们建议尽快进行安全文化调查。网络钓鱼率和培训完成率等指标是很好的关键绩效指标,但快速调查可以帮助量化整个组织中员工的看法——无论是在网络意识计划启动之前还是之后。您可能会惊讶于您的组织中安全威胁意识的差异如此之大,这可以帮助您了解如何推出培训计划。
您还应该评估您当前的培训工作以及您希望从未来的计划中获得什么。想想一个成功的计划对您和您的领导团队来说意味着什么。每个组织都是不同的。那些拥有敏感医疗数据的人与从事高等教育或电子商务工作的人有不同的要求和担忧。不同的行业可能容易遭受不同的安全威胁,所有这些信息都应该告诉您如何设计能够实现组织目标的安全意识培训计划。
现在您已经评估了组织中独特的网络安全因素,您可以创建适合所有员工需求的安全意识培训计划。创建计划时需要记住以下几点。
- 细分:培训不是一刀切的。正如每个组织都有不同的需求一样,每个部门也可能有不同的需求。销售团队面临的网络威胁可能与最高管理层面临的网络威胁不同。制定符合每位员工的角色要求、职责和当前安全意识水平的网络意识计划。
- 学习设计最佳实践:培训不一定是无聊的。它应该简短、引人入胜且持续。研究表明,每年一次、长达一小时的培训不如全年进行的微学习有效。使用直接适用于每位员工的现实生活场景,使培训令人难忘且具有相关性。
- 游戏化:使用交互式培训,无论是培训模块本身还是围绕意识培训的部分。竞赛、排行榜和小额奖励对提高参与度大有帮助。
- 语言:在决定培训材料之前,请考虑组织成员使用哪些语言。跨国公司可能会通过每种语言提供的材料获得更好的服务,而不是选择不同语言的不同材料。
另外,不要忘记基础知识。虽然安全意识计划的某些部分可能涵盖不同的主题,但有一些意识主题需要对所有员工进行培训。我们将其称为 NIST 核心行为,其中包括密码安全、网络钓鱼攻击、移动安全和社会工程等主题。
虽然您的安全意识计划可能有明确的路径,但有时您会遇到组织中其他人的一些阻力。存在多种原因,但从共同目标(步骤 1)开始是获得初始部署支持的最有效方法之一。如果上级认为你的安全意识培训计划花费了太多时间或金钱,请使用真实数据来证明你的理由。例如,客户报告称,使用安全意识平台后,网络钓鱼报告时间缩短了75%。这样的改进会对您的安全工作产生什么影响?
如果他们似乎不重视整个组织范围内的网络安全工作,请解释对公司声誉的潜在损害如何可能在整个组织内引起连锁反应。例如,IBM 数据泄露成本报告量化了数据泄露的 27 个不同成本因素,以帮助全面了解风险。
最后,请务必解释您对组织安全文化的愿景以及您的目标如何与更大的业务目标保持一致。
现在您已经制定了经批准的安全意识培训计划,您必须与组织的人力资源经理或总监密切合作才能有效实施该计划。他们可以帮助确保您的计划成为所有员工的强制性计划,而不仅仅是建议的活动。所有利益相关者也应全面了解该计划。清楚地阐明该计划的目标、节奏和全年将采取的步骤。这可以帮助您确保所有程序部分一致且清晰。
我们建议每月(或每季度,如果需要)进行培训更新、定期沟通安全意识培训最佳实践(提供海报、电子邮件和其他资源以帮助强化每月的培训)以及新的突出威胁的更新。您还可以定期使用模拟网络钓鱼攻击来让您的同事保持敏锐。
在不同部门寻找安全冠军是另一个有效的策略。并不是每个人都会立即接受另一个培训计划。帮助将培训放在首位,并充当网络安全问题的关键人物。可以有效地将您的安全意识计划从培训转变为真正的文化转变。
跟踪关键指标(从第 1 步开始)对于确定计划是否成功以及决定何时进行更新或更改至关重要。为那些想要快速启动的人 提供经过验证的统包安全意识活动,但每个人都应该留出一些时间来定期评估您的计划,并确保它能够帮助您实现安全意识目标。
与其他安全意识计划管理员建立联系是提升培训计划水平的另一种好方法。不要试图重新发明轮子。通过网络研讨会或通过您的 CSM 与 Infosec 社区中的其他人联系,并利用他们的成果来添加到您的计划中。
