員工的網(wǎng)絡(luò)安全意識是個(gè)坎兒，企業(yè)一定要重視起來！

前言

在企業(yè)內(nèi)部，人為失誤和缺少體系化的網(wǎng)絡(luò)安全意識是企業(yè)數(shù)據(jù)泄露和安全威脅的首要原因?，F(xiàn)階段，網(wǎng)絡(luò)安全意識雖然在培訓(xùn)方面取得了很大進(jìn)展，但仍有很多企業(yè)并沒有把員工網(wǎng)絡(luò)安全培訓(xùn)放在首要位置，因此，強(qiáng)調(diào)網(wǎng)絡(luò)安全意識的重要性并有效地做到這一點(diǎn)，還有一些工作要做。

1.獲得高層對安全意識培訓(xùn)的授權(quán)

Wombat Security的Egan表示，安全專家們經(jīng)常會被一個(gè)正在進(jìn)行項(xiàng)目的細(xì)節(jié)搞得焦頭爛額，而無法關(guān)注全局。例如，安全專家會告訴CEO，目前仍有15%的員工會點(diǎn)擊網(wǎng)絡(luò)釣魚軟件，而且無論安全專家如何努力，員工的網(wǎng)絡(luò)安全意識不提高，企業(yè)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)仍不可能為零；重要的是這些數(shù)字對CEO們來說并沒有任何意義。不如這樣說：最好告訴他們，公司可以通過安全意識培訓(xùn)，降低安全風(fēng)險(xiǎn)和安全修復(fù)成本。這才是高層最想要獲得的結(jié)果。

2.加強(qiáng)對特殊崗位人員的安全培訓(xùn)

CrowdStrike的服務(wù)副總裁湯姆?埃瑟里奇(Tom Etheridge)表示，公司應(yīng)該將安全意識培訓(xùn)作為一項(xiàng)檢查清單。從執(zhí)行董事會和高管到財(cái)務(wù)團(tuán)隊(duì)和采購部門的高層領(lǐng)導(dǎo)，都需要參加公司組織的專業(yè)的網(wǎng)絡(luò)威脅培訓(xùn)。

這些人崗位特殊，具有訪問許多個(gè)人電腦和公司服務(wù)器信息的特殊權(quán)限，因此這些人在網(wǎng)絡(luò)犯罪分子眼里是具有高價(jià)值的目標(biāo)。

安全專家需給出安全策略，這樣網(wǎng)絡(luò)犯罪分子眼中的目標(biāo)就可以學(xué)習(xí)如何使用雙因素認(rèn)證和加密之類的工具，以及學(xué)習(xí)在出差時(shí)保護(hù)物理資產(chǎn)（電腦等）所需采取的適當(dāng)步驟。

3.提升信息安全意識，從領(lǐng)導(dǎo)層開始

一般來講，當(dāng)管理層開始重視網(wǎng)絡(luò)安全時(shí)，員工也會被帶動(dòng)，對企業(yè)信息安全政策和準(zhǔn)則認(rèn)真對待，有意識地避免詐騙和數(shù)據(jù)泄露的威脅。

安全專家更為關(guān)注那些為安全意識培訓(xùn)提供資金以及支持的人員。也就是說公司是否對員工提供安全意識培訓(xùn)的決定權(quán)多數(shù)掌握在其直屬領(lǐng)導(dǎo)手中。因此，只要得到領(lǐng)導(dǎo)們的認(rèn)可，那么員工的安全意識培訓(xùn)就可以正常進(jìn)行，也就能夠有效地提升團(tuán)隊(duì)的網(wǎng)絡(luò)安全意識，

4.公司應(yīng)尋找天生的領(lǐng)導(dǎo)者

Wombat Security的Egan表示，許多公司沒有考慮為安全意識項(xiàng)目建立一個(gè)特別部門。安全專家可以尋找天生的“領(lǐng)導(dǎo)者”——他們可能是技術(shù)人員，也可能不是技術(shù)人員，但在公司聚會上是派對的主角，或者總是在全公司的會議上發(fā)言。讓他們成為公司的擁護(hù)者，他們會說服其他人，安全意識對于公司的網(wǎng)絡(luò)安全持續(xù)建設(shè)是非常重要的。

5.安全意識將作為技能貫穿員工整個(gè)職業(yè)生涯

當(dāng)然，安全意識培訓(xùn)會讓公司更安全。但是，安全專家和人力資源部的工作人員并沒有提到其他廣泛的好處。例如，公司對員工進(jìn)行安全意識培訓(xùn)，可以間接地幫助其父母避免一些常規(guī)的網(wǎng)絡(luò)安全損害，將損失降到最低。這些上了年紀(jì)卻不懂電腦的老人，可以在充滿網(wǎng)絡(luò)安全威脅的今天，最大化享受先進(jìn)互聯(lián)網(wǎng)技術(shù)帶來的樂趣。

我們可能沒有意識到，安全意識已經(jīng)不僅僅是一個(gè)商業(yè)問題，而是一個(gè)現(xiàn)代生活技能問題。人力資源部門在招聘新員工時(shí)需要強(qiáng)調(diào)培訓(xùn)方面的內(nèi)容以及重要性。這將是每一個(gè)員工在他們職業(yè)生涯中可以隨身攜帶的技能。

6.企業(yè)舉行攻防演練，提升防御能力

很多公司會給員工發(fā)送一些網(wǎng)絡(luò)釣魚郵件進(jìn)行內(nèi)部測試，看看會發(fā)生什么。但是在進(jìn)行任何測試之前，他們要考慮使用攻擊的類型、如何對被釣魚的用戶進(jìn)行分組等考量。

CrowdStrike公司就經(jīng)常與企業(yè)合作進(jìn)行測試，在特定時(shí)間嘗試網(wǎng)絡(luò)釣魚，以觀察員工的表現(xiàn)。他說，基于廣泛的網(wǎng)絡(luò)釣魚可能是為了有助于合規(guī)目的或評估企業(yè)采取網(wǎng)絡(luò)安全策略的有效性，但這并不能測試出企業(yè)真實(shí)的防御能力。因此，公司如果有條件，可以進(jìn)行紅藍(lán)對抗比賽，有效提升技術(shù)人員的攻防水平，最終向高管說明安全團(tuán)隊(duì)是如何能更有效地應(yīng)對安全問題。

企業(yè)的網(wǎng)絡(luò)安全與否，員工的網(wǎng)絡(luò)安全意識是一道坎兒，只有過了這一關(guān)，才能打牢企業(yè)網(wǎng)絡(luò)安全的地基，有效降低數(shù)據(jù)泄露等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

本文轉(zhuǎn)載自今日頭條號“e安教育”