在防范網(wǎng)絡(luò)犯罪的進程中,企業(yè)員工正在迅速發(fā)展成為最薄弱的一環(huán):常識只能保證我們走完一程,僅此而已,而且還要確保圍繞安全所采取的最佳實踐不被當(dāng)作耳旁風(fēng),左耳進右耳出。不論是員工無意間所犯的錯誤,還是其已被黑客鎖定并通過他們來獲取敏感信息,員工一旦犯錯都可以輕易地為惡意軟件和信息竊取大開方便之門。
攻擊成功通常是因為進程不暢和利用人為的傾向。為了減少企業(yè)的威脅面,需要將定期員工培訓(xùn)的重點從反應(yīng)轉(zhuǎn)向防御。在員工安全培訓(xùn)中,純粹的以合規(guī)為導(dǎo)向的方法已被證明對企業(yè)無效,這種枯燥的培訓(xùn)方式已經(jīng)不足以激發(fā)員工的想象力。企業(yè)應(yīng)側(cè)重教育員工如何保護他們的個人資料,從而鼓勵員工在工作場所采取進一步的安全導(dǎo)向的做法。
可以采取多樣化的員工培訓(xùn)方式,其中便包括日益流行的“游戲化”網(wǎng)絡(luò)安全教育項目。游戲化指的是將游戲機制運用于非游戲情境當(dāng)中,利用游戲中某些令人興奮的元素,將其應(yīng)用到其它類型的不那么有趣的活動當(dāng)中。由于引入了競爭和獎勵等元素,游戲化項目日益受到大眾歡迎,在各個行業(yè)被廣泛采用。
目前,有不少企業(yè)將游戲化項目應(yīng)用于實踐以提升績效和積極性,包括客戶參與和員工教育及培訓(xùn)。其中,游戲元素包括一對一競賽和獎勵計劃等。
如何以游戲化的方式來解決所在企業(yè)的安全問題,以下兩種關(guān)鍵方法可供企業(yè)管理者采用:
增強培訓(xùn)趣味性,提升員工參與度
游戲化項目可助力企業(yè)以多種方式提升網(wǎng)絡(luò)安全性,比如,向員工展示避免網(wǎng)絡(luò)攻擊的技巧以及學(xué)習(xí)如何甄別軟件漏洞。全球咨詢公司普華永道通過其“威脅游戲”來傳授網(wǎng)絡(luò)安全知識。高管們在現(xiàn)實世界的網(wǎng)絡(luò)安全環(huán)境中進行對抗,扮演攻擊者和捍衛(wèi)者的角色。攻擊者選擇攻擊的策略,方法和技能,而捍衛(wèi)者制定(防御)戰(zhàn)略,投入正確的技術(shù)和人才來應(yīng)對攻擊。該款游戲讓高管們了解了如何準(zhǔn)備和應(yīng)對威脅,公司的準(zhǔn)備情況以及他們的網(wǎng)絡(luò)安全團隊每天需要面對的問題。
游戲化有利于增強員工培訓(xùn)的趣味性,提升員工參與的積極性,提高員工對網(wǎng)絡(luò)安全實踐的認(rèn)識,其中便包括如何正確處理攻擊。
提供獎勵來鼓勵良好行為
大多數(shù)安全漏洞皆由人為失誤所致,這是因為員工要在規(guī)定期限內(nèi)盡量快地完成工作,往往會忽視公司相關(guān)安全的重要政策。
例如,開展一種稱為“來釣我”(PhishMe)的活動便是培訓(xùn)員工電子郵件安全的一個行之有效的途徑,這包括定期在企業(yè)內(nèi)發(fā)送釣魚郵件,對員工的反應(yīng)以及行動進行測試。
游戲化使得企業(yè)能夠?qū)δ切┳袷匕踩鞒毯蛨猿终_安全指導(dǎo)方針的員工予以獎勵,此舉將促進良好行為的進一步養(yǎng)成。這種游戲化活動可以表現(xiàn)為,授予員工徽章或積分點數(shù)形式,在積分板上進行展示,從而形成整個辦公室你追我趕的局面。在某些企業(yè),如果有員工達(dá)到一定要求后,他們會獲得一份諸如禮券之類的物質(zhì)獎勵。
此外,該系統(tǒng)還有助于發(fā)現(xiàn)那些在游戲化活動中表現(xiàn)不佳的人員,從而完成更進一步的網(wǎng)絡(luò)安全培訓(xùn)。
當(dāng)員工表現(xiàn)良好時,對其認(rèn)可并予以獎勵,能夠促使他們更加積極工作,激勵其采取安全措施,創(chuàng)造更加安全的網(wǎng)絡(luò)工作環(huán)境。
任何一個以安全意識為主的培訓(xùn),其核心便是教育員工要對他們在工作中所處理的數(shù)據(jù)以及他們在家創(chuàng)建和使用的數(shù)據(jù)負(fù)有同等責(zé)任感。所有圍繞安全意識進行的活動都應(yīng)該保持持續(xù)性,而非一次性行動。不論企業(yè)規(guī)模是大是小,領(lǐng)導(dǎo)者有時可能會覺得他們?nèi)狈τ行У哪軌蛲苿泳W(wǎng)絡(luò)安全教育活動所需的資源,其實這種活動也可以以經(jīng)濟實惠的方式來進行。
視覺材料有助于工作的開展。從一些小視頻,海報和/或競賽開始,讓每一位員工都能抓住重點信息,那就是確保安全是每個人的責(zé)任。
“下馬威”戰(zhàn)術(shù)不起作用了。企業(yè)的目的是要網(wǎng)絡(luò)安全在員工中形成共識和文化,因此需要將企業(yè)的這種游戲化活動視作一種市場活動,其目的是說服員工改變其行為。
言簡意賅,效果最好。長電子郵件總是被忽略。保持郵件的簡短和有趣,同時要注重采用上行下效的方法,即員工總是在效仿他們的領(lǐng)導(dǎo),如果領(lǐng)導(dǎo)都不重視網(wǎng)絡(luò)安全文化,那又怎么能要求其員工也重視呢?這種做法的目的是教育員工采用最佳實踐,而不是逼迫他們成為安全專家。所以要保證這種方式有趣,能夠博人一笑,這樣確保每個人可以在同一時間對其形成深刻了解。
強化和跟進是關(guān)鍵。培訓(xùn)是一個持續(xù)的過程,要做到向那些行之有效的方法學(xué)習(xí),必要時接受再教育。要重新對你的新老員工進行測試,檢查他們是否會落入釣魚郵件的圈套,檢查有哪些員工仍舊對假冒郵件難辨真?zhèn)巍9膭顔T工就虛假信息及時溝通和通報,鼓勵落后部門向先進看齊。我們的目的不是讓單個員工拔尖,而是在企業(yè)內(nèi)部形成健康有序的競爭機制。
盡管消除業(yè)務(wù)中的網(wǎng)絡(luò)風(fēng)險需要一個持續(xù)的過程,但這些風(fēng)險是可以進行管理的。我們需要一套行之有效的方法,鼓勵員工有疑問便能夠說出來,如有必要提供再教育。如果有員工還未接觸安全意識項目,但卻在點擊惡意軟件之前就能提出疑問,就說明您已經(jīng)掃除了障礙,從而使網(wǎng)絡(luò)環(huán)境變得更加安全了。
京公網(wǎng)安備 11010502049343號