想象一下:作为安全意识教育练习的一部分,员工进入一个房间。 一个实际的物理操作安全“逃生室”,乍一看就像一个普通的办公室。 但当人们仔细观察,扮演闯入大楼的犯罪社会工程师时,他们开始发现可用于邪恶目的的信息。
例如,垃圾桶里有一个密码。 还有一场视频会议尚未结束。 参与者周围都是可以帮助他们开拓业务的线索。 希望这种经历能帮助他们看清罪犯的眼睛,并让他们了解人身安全的重要性。 完成后,目标是让他们记住需要保持白板清洁、锁定笔记本电脑以及隐藏或粉碎文件以保护公司。
这是那种 安全意识培训 Tessian 信任与合规主管 Kim Burton 曾使用这种方法来确保培训给员工留下深刻的印象。
由于人为错误是导致许多违规和数据丢失事件的原因,因此仍然迫切需要持续的意识培训。 事实上,最近的 Verizon 数据泄露调查报告 发现 74% 的违规行为涉及人为因素,其中包括社会工程攻击、错误或滥用。
数据还显示,许多公司在提供意识培训方面仍然存在不足。 新的 来自大黄蜂安全的数据 发现 33% 的公司没有向远程工作的用户提供任何网络安全意识培训,这是后疫情时代的常见安排。 而那些确实提供意识培训的组织——无论是现场员工还是远程员工——通常每年只进行一次。 国家网络安全联盟执行董事丽莎·普拉格米尔 (Lisa Plaggemier) 表示,这种做法远非有效。她在开发和运行安全意识项目方面拥有悠久的历史。
她说,现在是组织在有效意识方面团结起来的时候了。
“简短但频繁; 不再有这种一年一度的废话了,”她说。
超越合规性
但提高频率只是现代安全意识培训需要改进的众多方法之一。 在不断变化的威胁形势下,有效的安全意识培训是什么样的?
“在国家网络安全联盟,我们试图影响的许多行为都是相同的,因此建议也是相同的——使用 MFA、报告网络钓鱼等——但随着时间的推移,我们通过独特的消息来传递这些建议,”说普拉格米耶。 “这些信息使用不同的方法:从受害者的角度讲故事,从辩护人的角度讲故事,利用头条新闻中的时事。”
引人注目、及时、引人入胜且令人难忘。 听起来很简单,对吧? 但事实并非如此。 CybSafe 科学研究主任兼肯特大学网络安全副教授 Jason Nurse 博士表示,态度是阻碍许多公司前进的关键问题。
“许多安全意识计划仍然失败,因为组织将培训视为必须勾选的框,”他说。 “组织通常关注合规性和满足基本要求,这可能会导致培训缺乏深度和参与度。”
创造“粘性”意识
安全领导者如何才能制定一个远远超出合规要求的计划,并将培训塑造成人们不仅可以记住,而且在面临基于风险的决策时实际使用的东西?
护士说,一种方法是通过适合他们的沟通渠道来传递内容。 研究 CybSafe 今年早些时候发现,79% 的办公室工作人员可能会按照他们日常使用的平台(例如 Slack 和 Teams)上提供的安全建议采取行动。 90% 的受访者认为即时通讯平台上的安全推动很有价值。 同样,每天和每周收到网络信息的人记住所有培训的可能性是每月、每季度或每年收到网络信息的人的两倍。
“虽然通过定期、有吸引力的培训对网络卫生有基本的了解至关重要,但在员工需要时以有用的方式为他们提供帮助也同样重要,”纳斯说。 “培训不应只是传达信息; 它应该指导个人如何在日常活动中安全行事。 此外,它应该确保人们知道在需要时到哪里寻求帮助。”
另一种让它更有意义的方法是 使培训基于角色。 Plaggemier 表示,“一刀切”“在一定程度上是合规所必需的”,“但一旦履行了合规义务,人们就应该接受适合其角色和影响他们的特定风险的培训。 ”
Tessian 的伯顿表示,除了使其过于通用之外,许多组织在设计培训时未能考虑文化和大局。
“这些计划未能考虑到员工的整体体验,例如组织当前的文化、领导层当前关于安全实践重要性的信号,以及普通员工被要求将大部分时间和时间花在哪里。能量,”她说。 “安全意识计划可能会忽视非工程员工,而工程师可能缺乏将材料整合到实践中的指导。”
“没有一种正确的方法可以培训人们确保网络安全。 只有适合您的组织、部门或团队的方法,”护士补充道。
到房间玩
伯顿说,粘性意识的另一个重要因素是了解你的受众。 就像一个优秀的单口喜剧演员一样,如果你想让他们记住你告诉他们的内容,你就需要明白你在向谁表演。
“第一步是同理心,”她说。 “安全教育者需要深入了解他们所教的人。 在较长时间内重复并以多种方式介绍内容也将确保回忆。 最后,不要忘记享受乐趣。 由于担心过于怪异,组织经常失去兴趣和参与度。 然而,人们更有可能保留独特的内容。 奇怪就是好! 有趣,有创意,找到快乐!”
除了逃生室之外,伯顿还让员工参加故事竞赛,要求员工写出一个“恐怖的万圣节故事”,讲述他们将如何攻击公司。 她还创造了一些叙述,让人们担任公司的安全分析师,他们必须评估外部供应商的安全性。
她说,最有效的安全培训涵盖了企业关注的核心风险; 它是为观众量身定制的; 这些概念随着时间的推移以多种方式呈现; 这些材料因其独特的表达、幽默或创意体验而令人难忘。
“关键要素一直是,而且永远是,关注人民本身。”
如何从容易忘记的安全意识转变为令人难忘的安全意识
对于许多组织来说,粘性安全意识培训可能难以实现。 由于 74% 的安全事件直接与人为错误有关,因此找到联系员工并帮助他们了解网络风险的方法非常重要。 Tessian 信任与合规主管 Kim Burton 在她的项目中使用了各种意识培训技术。 她说,在自己的公司创建项目时要牢记以下重要原则。
- 遵循人们的工作方式: 使用有关人类记忆如何运作、人类如何学习、什么激励措施可以提供最佳长期结果的信息。
- 整体方法: 了解员工。 他们面临哪些压力? 当地的文化是什么样的? 内部文化是什么样的? 这些人有什么专业背景? 目前内部如何看待安全团队或 IT 团队? 高管们是否拥护安全?
- 讲故事: 分享真实的轶事,讲述行业故事或您的经历,并使用示例。 这有助于人们在叙述中看到自己。 理想情况下,每个人都能够看到他们如何为组织的安全故事做出独特的贡献。
- 游戏化: 超越排行榜。 利用您对人们工作方式的了解以及在公司工作的整体经验,让参与安全内容变得有趣。 制作谜题,鼓励好奇心和神秘感,重现学习中发现的乐趣,指出进展,并使用积极强化来实现安全行为。
- 建立信任: 建立内部关系。 成为值得信赖的信息来源,同时也成为一个容易受到困难概念、安全错误和普遍担忧影响的安全人士。 安全教育者应该是业内最知名的人士之一。
- :具有
- :是
- :不是
- :在哪里
- 7
- a
- Able
- 关于
- 根据
- 账号管理
- 法案
- 活动
- 实际
- 通
- 增加
- 添加
- 管理
- 忠告
- 影响
- 所有类型
- 联盟
- 还
- 时刻
- an
- 分析人士
- 和
- 每年
- 任何
- 方法
- 适当
- 保健
- 围绕
- 安排
- AS
- 律师
- At
- 攻击
- 攻击
- 态度
- 听众
- 意识
- 背部
- 背景
- 基本包
- BE
- 因为
- 成为
- 很
- 行为
- 作为
- 众生
- 最佳
- 超越
- 大
- 查看大图
- 盒子
- 违反
- 违规
- 布罗克
- 建立
- 建筑物
- 商业
- 但是
- by
- CAN
- 冠军
- 渠道
- 接近
- 购买的订单均
- 相当常见
- 沟通
- 公司
- 公司
- 符合
- 元件
- 概念
- 关心
- 关注
- 研讨会 首页
- 考虑
- 经常
- 内容
- 贡献
- 核心
- 可以
- 盖
- 创建
- 创造
- 创意奖学金
- 刑事
- 关键
- 文化塑造
- 好奇心
- 电流
- 目前
- 网络
- 网络安全
- 网络安全
- 每天
- data
- 数据泄露
- 数据丢失
- 日复一日
- 决定
- 深
- 学位
- 喜悦
- 交付
- 交货
- 问题类型
- 深度
- 拼命
- 发展
- 不同
- 难
- 直接
- 副总经理
- 发现
- do
- 文件
- 不
- 不
- 完成
- dr
- 两
- 每
- 此前
- 有效
- element
- 换位思考
- 员工
- 员工
- 鼓励
- 能源
- 订婚
- 从事
- 工程师
- 工程师
- 确保
- 输入
- 一样
- 错误
- 故障
- 逃生
- 必要
- 等
- 评估
- 事件
- 演变
- 例子
- 例子
- 执行
- 执行董事
- 管理人员
- 锻炼
- 体验
- 体验
- 利用
- 外部
- 眼部彩妆
- 面部彩妆
- 面临
- 事实
- 因素
- 失败
- 秋季
- 远
- 恐惧
- 终于
- 找到最适合您的地方
- 姓氏:
- 平面
- 专注焦点
- 针对
- 格式
- 发现
- 频率
- 频繁
- 频繁
- 止
- 开玩笑
- 滑稽
- 此外
- 其他咨询
- 得到
- Go
- 目标
- 非常好
- 指南
- 民政事务总署
- 万圣节
- 有
- he
- 头
- 头条新闻
- 帮助
- 有帮助
- 帮助
- 这里
- 相关信息
- 老旧房屋
- 历史
- 保持
- 整体
- 抱有希望
- 创新中心
- How To
- 但是
- HTTPS
- 人
- 人为因素
- 幽默
- 理想
- if
- 重要性
- 重要
- 改善
- in
- 激励
- 包括
- 个人
- 个人
- 行业中的应用:
- 影响
- 信息
- 即食类
- 整合
- 兴趣
- 内部
- 内部
- 成
- 介绍
- 调查
- 参与
- IT
- 它的
- JPG
- 只是
- 保持
- 键
- Kim
- 类
- 知道
- 会心
- 知识
- 缺乏
- 景观
- 笔记本电脑
- 领导人
- 领导团队
- 学习用品
- 学习
- 左
- 借力
- 喜欢
- 容易
- 本地
- 锁定
- 长
- 长期
- 不再
- 看
- 看起来像
- LOOKS
- 失去
- 离
- 占地
- 使
- 制作
- 任务
- 许多
- 标记
- 材料
- 可能..
- 意味着
- 会议
- 难忘
- 内存
- 商友
- 条未读消息
- 消息
- 外交部
- 介意
- 错误
- 滥用
- 现代
- 每月一次
- 更多
- 最先进的
- 移动
- 移动
- 必须
- 神秘
- 叙述
- 故事
- National
- 必要
- 需求
- 打印车票
- 需要
- 全新
- 没有
- 义务
- of
- 办公
- 经常
- on
- 一旦
- 一
- 仅由
- 操作
- or
- 组织
- 组织
- 输出
- 结果
- 超过
- 己
- 部分
- 与会者
- 密码
- 员工
- 人们工作
- 感知
- 期间
- 人
- 透视
- 钓鱼
- 的
- 图片
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 点
- 位置
- 积极
- 在练习上
- 做法
- 呈现
- 压力
- 市场问题
- 所以专业
- 教授
- 曲目
- 训练课程
- 进展
- 保护
- 提供
- 提供
- 优
- 目的
- 放
- 拼图
- RE
- 达到
- 真实
- 收到
- 接收
- 最近
- 定期
- 关系
- 纪念
- 远程
- 报告
- 岗位要求
- 研究
- 受访者
- 提供品牌战略规划
- 导致
- 保留
- 揭示
- 右
- 风险
- 角色
- Room
- 运行
- s
- 安全
- 同
- 说
- 科学
- 安全
- 安全
- 保安
- 安全意识
- 安全事件
- 看到
- 寻找
- 形状
- Share
- 她
- 短
- 应该
- 信号
- 同样
- 简易
- 松弛
- So
- 社会
- 社会工程学
- 东西
- 来源
- 具体的
- Spot
- 开始
- 步
- 黏
- 仍
- 故事
- 故事
- 评书
- 这样
- 肯定
- 量身定制
- 采取
- 故事
- 教诲
- 团队
- 队
- 技术
- 展示
- 告诉
- 原则
- 这
- 其
- 他们
- 他们自己
- 那里。
- 博曼
- 他们
- 事
- Free Introduction
- 今年
- 那些
- 思想
- 威胁
- 通过
- 绑
- 次
- 及时
- 至
- 一起
- 也有
- 培训
- 产品培训
- 信任
- 信任
- 试图
- 两次
- 理解
- 理解
- 独特
- 独特地
- 大学
- 使用
- 用过的
- 用户
- 使用
- 运用
- 有价值
- 各种
- Ve
- 厂商
- Verizon
- 受害者
- 视频
- 视频会议
- 意见
- 脆弱
- 想
- 方法..
- 方法
- we
- 每周
- 知名
- 为
- 什么是
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 将
- 中
- 工作
- 工人
- 加工
- 合作
- 世界
- 将
- 写
- 年
- 完全
- 您一站式解决方案
- 和风网