松散的嘴唇也会沉没船只和公司
贵组织是否认真对待安全? 您的用户是否知道如何抵御社交工程攻击? 贵组织的便携式设备是否启用了数据加密? 如果您对这些问题中的任何一个回答“否”或“我不知道”,那么您的组织不提供良好的安全意识培训。
维基百科将安全意识定义为组织成员在保护组织机构和信息资产方面所具有的知识和态度。
简而言之:松散的嘴唇沉没船只。 查理布朗认为这就是安全意识的重要内容。
如果您对贵组织的信息资产负责,那么您一定要制定和实施安全意识培训计划。 目标应该是让你的员工意识到世界上有不好的人想窃取信息并破坏组织资源。
一个良好的安全意识培训计划将灌输贵组织数据和资源的所有权感。 员工将看到组织面临的威胁是他们的生计威胁。 一个不好的安全意识培训计划会让人产生偏执和怨恨。
让我们看看一些关于创建有效的安全意识培训计划的技巧:
教育用户了解他们可能遇到的现实世界威胁的类型
安全意识培训应包括对用户进行安全概念教育,例如识别社交工程攻击,恶意软件攻击,网络钓鱼策略以及他们可能遇到的其他类型的威胁。 查看我们的Fight网络犯罪页面,查看网络犯罪威胁和技术列表。
教授密码构造的失落的艺术
虽然我们很多人都知道如何创建一个强大的密码 ,但仍然有许多人没有意识到破解弱密码是多么容易。 解释密码破解的过程以及脱机破解工具(如使用彩虹表的那些工具)的工作方式。 他们可能不了解所有的技术细节,但他们至少会看到破解构造不好的密码是多么容易,这可能会激励他们在创建新密码时有更多创意。
关注信息保护
许多公司告诉他们的员工在午餐时不要讨论公司业务,因为你不知道谁可能会听,但他们并不总是告诉他们看他们在社交媒体网站上发表的言论。 如果您的隐私设置过于宽松,您可能会看到您的状态信息的竞争对手有一个简单的Facebook状态更新,说明您正在处理的产品将不会及时发布,这会对您的工作产生多么的愤怒。 教你的员工散布推文和状态更新也沉没船舶。
竞争对手公司可能会触动社交媒体寻找竞争对手的员工,从而获得产品智能的优势,谁在研究什么等。
社交媒体在商业世界中仍然是一个相对较新的领域,许多安全管理人员在处理这个问题上很难。 在公司防火墙阻止它的日子已经结束。 社交媒体现在是许多公司商业模式的组成部分。 教育用户他们应该在Facebook , Twitter , LinkedIn和其他社交媒体网站上发布的内容。
有潜在后果备份你的规则
没有牙齿的安全策略对您的组织来说不值得。 获得管理层认同并为用户行为或不作为创造明确的后果。 用户需要知道他们有责任保护自己拥有的信息,并尽力保护其免受伤害。
让他们知道,泄露敏感信息和/或专有信息,篡改公司资源等方面都有民事和刑事后果。
不要重新发明轮子
你不必从头开始。 美国国家标准与技术研究院(NIST)已经写了关于如何开展安全意识培训计划的书,最重要的是它是免费的。 下载NIST 800-50特别出版物 - 建立信息技术安全意识和培训计划,学习如何制作自己的。