在防范網絡犯罪的進程中,企業員工正在迅速發展成為最薄弱的一環:常識只能保證我們走完一程,僅此而已,而且還要確保圍繞安全所采取的最佳實踐不被當作耳旁風,左耳進右耳出。不論是員工無意間所犯的錯誤,還是其已被黑客鎖定并通過他們來獲取敏感信息,員工一旦犯錯都可以輕易地為惡意軟件和信息竊取大開方便之門。
攻擊成功通常是因為進程不暢和利用人為的傾向。為了減少企業的威脅面,需要將定期員工培訓的重點從反應轉向防御。在員工安全培訓中,純粹的以合規為導向的方法已被證明對企業無效,這種枯燥的培訓方式已經不足以激發員工的想象力。企業應側重教育員工如何保護他們的個人資料,從而鼓勵員工在工作場所采取進一步的安全導向的做法。
可以采取多樣化的員工培訓方式,其中便包括日益流行的“游戲化”網絡安全教育項目。游戲化指的是將游戲機制運用于非游戲情境當中,利用游戲中某些令人興奮的元素,將其應用到其他類型的不那么有趣的活動當中。由于引入了競爭和獎勵等元素,游戲化項目日益受到大眾歡迎,在各個行業被廣泛采用。
游戲也解決網安難題
目前,有不少企業將游戲化項目應用于實踐以提升績效和積極性,包括客戶參與和員工教育及培訓。其中,游戲元素包括一對一競賽和獎勵計劃等。如何以游戲化的方式來解決所在企業的安全問題,以下兩種關鍵方法可供企業管理者采用:
——增強培訓趣味性,提升員工參與度
游戲化項目可助力企業以多種方式提升網絡安全性,比如,向員工展示避免網絡攻擊的技巧以及學習如何甄別軟件漏洞。全球咨詢公司普華永道通過其“威脅游戲”來傳授網絡安全知識。高管們在現實世界的網絡安全環境中進行對抗,扮演攻擊者和捍衛者的角色。攻擊者選擇攻擊的策略、方法和技能,而捍衛者制定(防御)戰略,投入正確的技術和人才來應對攻擊。該款游戲讓高管們了解了如何準備和應對威脅,公司的準備情況以及他們的網絡安全團隊每天需要面對的問題。
游戲化有利于增強員工培訓的趣味性,提升員工參與的積極性,提高員工對網絡安全實踐的認識,其中便包括如何正確處理攻擊。
——提供獎勵來鼓勵良好行為
大多數安全漏洞皆由人為失誤所致,這是因為員工要在規定期限內盡量快地完成工作,往往會忽視公司相關安全的重要政策。
例如,開展一種稱為“來釣我”的活動便是培訓員工電子郵件安全的一個行之有效的途徑,這包括定期在企業內發送釣魚郵件,對員工的反應以及行動進行測試。
游戲化使得企業能夠對那些遵守安全流程和堅持正確安全指導方針的員工予以獎勵,此舉將促進良好行為的進一步養成。這種游戲化活動可以表現為,授予員工徽章或積分點數形式,在積分板上進行展示,從而形成整個辦公室你追我趕的局面。在某些企業,如果有員工達到一定要求后,他們會獲得一份諸如禮券之類的物質獎勵。
此外,該系統還有助于發現那些在游戲化活動中表現不佳的人員,從而完成更進一步的網絡安全培訓。
當員工表現良好時,對其認可并予以獎勵,能夠促使他們更加積極工作,激勵其采取安全措施,創造更加安全的網絡工作環境。
持續性而非一次性
任何一個以安全意識為主的培訓,其核心便是教育員工要對他們在工作中所處理的數據以及他們在家創建和使用的數據負有同等責任感。所有圍繞安全意識進行的活動都應該保持持續性,而非一次性行動。不論企業規模是大是小,領導者有時可能會覺得他們缺乏有效的能夠推動網絡安全教育活動所需的資源,其實這種活動也可以以經濟實惠的方式來進行。
——視覺材料有助于工作的開展
從一些小視頻、海報或競賽開始,讓每一位員工都能抓住重點信息,那就是確保安全是每個人的責任。
——“下馬威”戰術不起作用了
企業的目的是要網絡安全在員工中達成共識,因此需要將企業的這種游戲化活動視作一種市場活動,其目的是說服員工改變其行為。
——言簡意賅,效果最好
長電子郵件總是被忽略,保持郵件的簡短和有趣,同時要注重采用上行下效的方法,即員工總是在效仿他們的領導,如果領導都不重視網絡安全文化,那又怎么能要求其員工也重視呢?這種做法的目的是教育員工采用最佳實踐,而不是逼迫他們成為安全專家。所以要保證這種方式有趣,能夠博人一笑,這樣確保每個人可以在同一時間對其形成深刻了解。
——強化和跟進是關鍵
培訓是一個持續的過程,要做到向那些行之有效的方法學習,必要時接受再教育。要重新對你的新老員工進行測試,檢查他們是否會落入釣魚郵件的圈套,檢查有哪些員工仍舊對假冒郵件難辨真偽。鼓勵員工就虛假信息及時溝通和通報,鼓勵落后部門向先進看齊。我們的目的不是讓單個員工拔尖,而是在企業內部形成健康有序的競爭機制。
盡管消除業務中的網絡風險需要一個持續的過程,但這些風險是可以進行管理的。企業需要一套行之有效的方法,鼓勵員工有疑問便能夠說出來,如有必要提供再教育。如果有員工還未接觸安全意識項目,但卻在點擊惡意軟件之前就能提出疑問,就說明企業已經掃除了障礙,從而使網絡環境變得更加安全了。
京公網安備 11010502049343號