3项行动帮助您培训更多精通网络安全的员工

有多少员工完成了上次的网络安全意识培训?有多少人点击了你的测试钓鱼诱饵?大多数安全和风险领导者定期测试网络安全，并可以报告这些指标，但这并不意味着他们实际上减少了组织受到人为影响的风险网络安全风险．

“你需要把员工变成检测和抵抗社会工程攻击的控制者，但安全和风险负责人往往无法提供安全意识项目，从而对员工行为产生有意义的改变，”他说威廉•CandrickGartner公司的董事分析师。

立即下载:3个步骤让员工远离网络诱饵

网络犯罪分子已成为社交工程方面的专家，他们使用越来越复杂的技术诱骗员工点击恶意链接。安全负责人需要为员工提供信息和专业知识，以更好地防御这些攻击。

远程工作只会增加风险，因为员工使用的越来越多家庭网络和个人设备并对潜在的威胁做出自己的快速决定。坎德里克说:“坐在家庭办公室里，员工再也不能随意地转向旁边的同事，询问一封电子邮件看起来是否真实。

网络攻击越来越多

高德纳公司(Gartner)在2020年调查的所有董事会中，近一半的董事认为网络安全是其企业的首要风险来源。而且风险只会越来越大。

最近的行业研究证实，大流行鼓励网络犯罪分子更多地使用经过验证的攻击策略:

• 美国数据泄露的平均成本从2019年的819万美元增加到2020年的864万美元。¹
• 2020年，36%的数据泄露涉及网络钓鱼，16%涉及证书被盗。²
• 85%的入侵是人为因素造成的，10%的入侵是勒索病毒造成的。²
• 121季度，勒索软件的平均支付金额为220,298美元。^3.

攻击的数量以及人类在允许这些攻击中所扮演的关键角色，使得企业安全意识项目传授知识以测试和建立员工对网络风险的理解变得更加重要。

但是，更重要的是，这些安全意识项目需要教授和加强实践，使员工在发现组织中的可疑活动时能够识别并做出反应，并避免在敏感数据上出错。

立即下载:成熟的信息安全路线图

3项行动提高安全意识项目的有效性

专注于安全意识战略的三个关键组成部分，将有助于安全和风险管理领导者确保他们在安全意识项目上进行了适当的投资，并确保他们实际上正在改变最终用户的行为，以减少员工造成的风险。

安全意识策略的三个关键组成部分是:

行动一:设定远景

首先要建立一个远景陈述，该远景陈述列出了使组织能够实现其战略目标所需的安全行为。

通过一个由来自整个组织的代表组成的跨职能工作组来完成这项工作，包括核心业务线和支持功能。获得高级管理层的批准。

跨职能团队必须制定一份声明，体现安全意识计划的“最终状态”或愿望，并应在整个组织中产生共鸣，为员工提供切实的指导方针。

简单的例子包括“我们的员工是我们最大的安全武器”或“我们有一支安全意识很强的员工队伍”。

明确说明如果组织实现了所需的安全意识最终状态，将显示哪些签名行为。签名行为是指那些清楚地反映了最终用户对实现安全意识愿景的积极意图和支持的行为。

行动2:定义有形的、可衡量的期望行为

任何企业安全意识计划的核心价值主张都应该是塑造员工行为，从而降低安全事件的可能性和/或影响。Gartner提倡使用结果驱动度量(ODM)来指示与远景中的行为陈述相一致的操作和/或效益结果。

强制性完成率和知识检查结果指标来自大多数安全意识计算机培训平台提供的标准报告。这些指标可以用来衡量有多少最终用户完成了安全意识培训，以及培训的理解程度。

这是有用的信息，但并不表示一个有效的安全意识计划，可以降低风险或提供其他无关的业务利益。odm衡量的结果可以与可衡量的保护效益联系起来。

行动3:将行为与可衡量的商业利益联系起来

一旦odm被整理好，将这些见解与高级领导层真正关心的业务驱动因素联系起来。

首先衡量人为产生的网络风险的根本原因，这些风险如果得到改善就会带来好处——例如，由数据滥用或人为错误引起的网络安全事件的数量。如果您的意识计划有效地工作，这些指标应该随着时间的推移而改进(如果没有，您知道需要改进什么)。

然后将这些收益结果与业务驱动因素和收益联系起来——这将在大多数组织中与收入/增长、成本管理、风险管理和品牌声誉联系起来。

1 2020年数据泄露报告的成本，IBM安全

2 Verizon 2021年数据泄露调查报告

3 Coveware季度勒索软件报告