以下是你目前的培訓沒有效果的八個原因,以及企業應該考慮什么才能讓它更具吸引力。
1.調整網絡安全培訓的方法是打破常規
Security Innovation的首席執行官Ed Adams表示,讓培訓變得有效的“更好方法”是讓人們表現得像攻擊者,模仿復雜、快速演變的網絡攻擊世界,特別是在軟件安全方面,他指出,根據該公司與波內蒙研究所的2023年研究,包括現實模擬在內的網絡安全培訓項目可以提供更高的投資回報率。
像這樣的培訓計劃可能包括任務、挑戰——例如破壞訪問控制——競賽,以及帶有補充實驗室和課程的排行榜,以評估能力并最大限度地提高學習和協作能力。他告訴記者:“能夠看到數據被盜和欺詐性交易形式的攻擊的含義,將漏洞從理論問題轉變為實際問題。”
他的建議是,根據一個人的角色和他們的技術平臺量身定做培訓。他說:“有了模塊化的安全課程,就更容易將安全概念分解成針對特定角色的可互換的核心組成部分。在這種方法中,培訓必須具有參與性和情境性,以確保掌握,同時跟上安全團隊面臨的最新威脅。”
培訓計劃還需要定期更新,并不斷更新最新的威脅情報。Adams說:“沒有什么比每年提供一次過時的內容更能告訴人們你不把培訓當回事。”雖然你不能強迫人們吸收他們不想要的知識,但強制性培訓也可以是激勵的,但加強為什么要建立以安全為重點的文化至關重要。
自定進度的學習對于擴展知識和靈活性也很重要,融入親密的生活環境可以建立團隊合作。“這就是為什么由講師指導的團隊意識活動是有效的,即使是遠程的。培訓培訓師或學徒計劃的選項對于組織的成熟和認同至關重要。接受‘自己人’的培訓會帶來新的視角,并增加傾聽和學習的意愿。”
2.要想使培訓有效,需要重視安全文化
馬里蒙特大學(Marymount University)兼職教授、網絡醫生(Cyber Doctor)創始人Stephen Boyce表示,CISO可能會錯過的是,在網絡安全培訓中超越以復選框合規為重點的方法。
要使企業的安全文化成熟,需要更多的預算和人力資源。Boyce告訴記者:“除了技術人才,企業還應該用非傳統背景的人才來支持他們的員工隊伍,比如人的因素、心理學和安全專業人員。”
每個企業都有或缺乏安全文化,隨著時間的推移,隨著時間的推移,有了專門的資源,這種文化應該會成熟,就像它的網絡安全計劃一樣。他說:“一個企業的網絡安全計劃的影響力取決于該企業的安全文化,以及它是否使用了多種交付方法,將員工不同的學習風格結合在一起。”
他說:“一些企業使用不同的交付方法,根據個人的風險狀況而不是他們的職稱或部門來定制他們的培訓計劃,這需要他們員工的個人基線來了解每個員工的風險狀況。然后進行持續評估,以了解他們在應對當前威脅時的優勢和劣勢,從而提供與員工相關的有意義的培訓。”
但Boyce認為,這種做法未來需要改變。“今天的安全培訓和教育項目是由數字移民為數字移民設計的,然而,隨著勞動力人口結構的持續變化和數字原住民在勞動力中的主導地位,企業會發現他們一貫的做法不再那么有效。”
他說:“一些培訓項目正在提供可以從一個雇主轉移到另一個雇主的數字徽章,使企業能夠在未來員工開始工作日期之前確定他們的基線,并將培訓項目與人力資源系統聯系起來。”
3.該行業需要一種不同的方式來衡量人類風險
“為什么它很糟糕?AwareGO的聯合創始人兼研發主管Ragnar Sigurdsson表示:“它太長了,太技術了,安全管理員太依賴釣魚模擬了。”他認為,網絡培訓應該是愉快的,但也是小規模的;保持培訓視頻不超過兩分鐘,使用演員而不是卡通,并利用廣告行業的技巧,以一種更快、更吸引人的方式傳達有關威脅的信息。“人們很快就會失去興趣,如果他們覺得自己的時間被浪費了,他們就會開始憎恨培訓,不會參加培訓,”Sigurdsson說。
他說:“幾十年來,公司一直依靠網絡釣魚模擬來告訴他們公司在網絡安全方面的立場,這些測試確實讓你對自己的風險狀況有了一些了解,但只在一個方面(他們點擊了還是沒有點擊),即使這樣,信息也不是那么好,它們不會顯示人們是否忽視了這封電子郵件,如果他們轉發了它,他們是如何決定它是安全的還是不安全的等等,這些都是非常重要的信息,安全管理員應該想知道這些信息,以便他們能夠補救真正的問題。”他說。
眾所周知,釣魚模擬也會對員工產生負面影響,因為它們會讓人們在使用真實組織的域時失敗,這使得釣魚電子郵件幾乎不可能被發現。Sigurdsson說:“這導致員工惡意合規,聲稱公司的每一封電子郵件都是釣魚郵件,不回復電子郵件或會議請求。”
我們需要一種不同的方法來衡量人類風險。不是標準化的問卷調查或網絡釣魚模擬,而是針對多個威脅領域的獨立和互動評估方案,每個方案都揭示了不同水平的知識和行為。Sigurdsson傾向于從人類風險評估開始,然后使用該評估來建立具有相關主題的培訓計劃。
將獎勵和游戲化結合起來有助于激勵和一些良性競爭。此外,最好是向員工提供分數和關于他們正確答案和錯誤答案的信息,而不是簡單地說“不及格”。Sigurdsson補充道:“并為得分最高的員工提供獎勵,并在不同地點或部門內建立排行榜。”
他認為,還有必要在內部“推銷”網絡安全培訓計劃,以幫助買入。他說:“宣傳得不好的安全項目很少能獲得成功。倡議背后需要一個平易近人的人;部門負責人和中層管理人員需要全力以赴并給予支持,才能獲得一些吸引力。”好的成績應該得到表揚和吶喊,而差的成績必須通過訓練來補救,不能責備或羞愧。他說:“安全計劃不能是來自最高層的指令,而是作為從首席執行官到看門人的所有人的共同責任。”
4.游戲化和在實踐中學習
Skill able執行主席兼聯合創始人Corey Hynes表示,游戲化在安全領域尤其奏效,參與者喜歡展示知識和技能。安全游戲,如攻擊/防御、奪旗和紅色對藍色,始終實現更高的參與率,產生更好的學習結果和技能獲得。根據Hynes的說法,當單獨完成排行榜時,排行榜是激勵學習的一個很好的工具。
Hynes說:“將游戲化納入培訓計劃,并不需要很復雜才能有效。復雜的計分卡或復雜的自動化和評分可能是不必要的。然而,將人們放在同伴小組中,由能夠管理互動和促進良性競爭的教練或協調員監督,可能是非常有效的。”他認為,太多的節目依賴于“邊看邊學”,而沒有給予“邊做邊學”足夠的重視。
在未來,隨著攻擊變得更加復雜和頻繁,通常得益于GenAI的進步,Hynes認為,企業必須讓人們準備好在第一時間做出快速而正確的反應。“要為這個現實做準備,你需要的不僅僅是閱讀或觀看視頻。”
5.摒棄一刀切的做法
NINJIO網絡安全意識培訓的首席執行官Shaun McAlmont表示,將課程個性化是至關重要的,以滿足學習者的需求。“要做到這一點,公司需要一個培訓計劃,使他們能夠根據個人或團隊的需求量身定做課程,解決他們角色或個人弱點的現實問題。”McAlmont告訴記者。
他認為,許多網絡安全意識項目的幾個共同特征是被誤導的,因為它們出于合規目的勾選了一個框,但沒有考慮人們如何學習以及如何讓他們改變自己的行為。“如果人們從一開始就置身事外,他們就不會學習和改變行為,所以我們需要考慮三件事來呈現這些信息:時機、相關性和個性化。”
由于網絡安全是一個復雜的話題,有很多技術細節,每年給某人上一次課并不會帶來更安全的企業,因為人們不會很好地保留信息,也不會改變他們正在做的事情。相反,每月定期培訓可能會將網絡安全意識的需求放在首位。
McAlmont說,反復的學術研究發現,最佳演講時長為15分鐘,那么為什么要試圖在長時間的勞動力培訓中傳達超重要的信息呢?“取而代之的是,把訓練分成更短、更容易理解的部分,然后把它們分散到每月固定的節奏中。這樣做可以避免學習者疲憊不堪,并降低他們在午餐前忘記一切的可能性。”
為了保持培訓的相關性,需要向學習者展示像網絡安全這樣的技術主題如何適應他們的生活。McAlmont說:“這意味著要建立一個相關的故事,讓人們想:‘這可能真的會發生在我身上’,或者他們需要能夠將培訓中的主題與現實生活中的事件聯系起來。”
當某人犯了錯誤時,無論是被IT部門的模擬釣魚郵件迷住了,還是被真正的攻擊迷住了,太多的程序都會依賴于懲罰性的方法,比如讓這個人參加“補救性培訓”,或者給他打一個負分。他表示:“相反,要保持積極和不帶偏見。如果網絡安全意識培訓不帶有負面內涵或引發恐懼情緒,人們更有可能參與其中,并為之做出積極貢獻。”
這種方法是圍繞人們如何學習改變他們的行為而建立的,這是一個比勾選合規計劃的框要好得多的目標。McAlmont說:“事實證明,使用動畫風格、故事驅動的插曲內容是該行業制作的最吸引人的內容之一。將這種娛樂性的方式與個性化交付相結合是全新的。”
6.網絡教育需要成為一種享受
當涉及到教育時,我們低估了講故事的力量,這意味著與其在培訓模塊中使用假設場景,不如分享現實世界的入侵、騙局或網絡釣魚。SEI的網絡安全主管Mike Lefebvre告訴記者:“從實際的網絡戰爭故事中學習可以從一個實際的網絡事件中學到很多教訓。”
他說:“員工需要關心網絡安全培訓,才能改變員工的行為。如果網絡培訓被定位為一種生活技能,可以幫助保護工作中和家里的員工,那么就有可能提高培訓參與度。”
它需要及時、相關、吸引人、可接觸和簡潔,也就是治療。“因此,當終端用戶點擊錯誤的鏈接或下載錯誤的電子郵件附件時,我們可以近乎實時地向他們介紹微型課程,而不是使用復雜的、正式的培訓模塊,”他說。“在網絡安全變得像安全帶或安全氣囊一樣無縫之前,我們還有很多工作要做。”
至于人工智能,目前還不清楚這對網絡教育和培訓到底意味著什么,但它的巨大普及可能會改寫一些學習規則。它可能更像是一種“垃圾輸入,回收信息輸出”的情況,而不是迄今為止計算機科學定義的“垃圾輸入,垃圾輸出”的格言。“人工智能的突破表明,有可能從看似糟糕的數據中獲得一些情報,”他表示。
Lefebvre認為,未來需要對教育和培訓項目進行重大改造,以吸引即將與人工智能一起成長的一代人。“人工智能有可能從根本上改變我們人類處理和檢索信息的方式,”他說。
7.通過冒險和非冒險的行動向員工提供實時反饋
Uptycs的CISO和產品戰略副總裁Kevin Paige表示,觀看基于計算機的視頻的傳統培訓不起作用。“觀看一個你不理解的話題的視頻,指望別人記住內容,并將其應用到現實世界中,這不是人們學習的方式。”
更好的方法是接入收集個人安全和風險遙測的系統,并使用這些數據向員工提供實時反饋,以及個人每天采取的有風險和無風險的行動。“就像用積極和消極的增援來訓練一只狗一樣,我們可以根據實時的行動/信息來訓練人類。”Paige說。
Paige認為,培訓應該直接展示當員工點擊釣魚電子郵件、在互聯網瀏覽器中鍵入密碼、打開共享文件或從不安全的網站下載病毒時會發生什么。當員工沒有從未經批準的來源下載軟件時,他們應該得到積極的反饋。如果組織能夠將這些反饋捆綁在一起,并給員工一個風險評分,這將使他們能夠評估他們公司的整體風險狀況。
8.讓網絡安全成為商業對話的一部分,但要保持相關性
網絡安全意識和培訓不能只是一次性的活動,相反,它需要是關于威脅和風險格局不斷變化的性質的定期、持續的對話。
為了幫助將潛在風險保持在人們頭腦中的前沿,Rapid7開發了自己的組織范圍內每周安全公告,涵蓋了內部和外部風險和威脅。就像每周的風險報告一樣,高級領導層有一個版本,企業的其他人也有另一個版本,其目的是報道嚴肅的主題,但以簡短有力的方式進行。
Rapid7的CSO Jaya Baloo告訴記者:“最多五個項目,因為我不是想讓任何人超負荷工作,我只是想讓每個人都變得更有水平,開始越來越具體地思考會影響我們企業的網絡安全問題。”
她說:“Leadance One有五個內部項目,我們認為這些項目對企業來說是真正的風險,這些項目會交給高級副總裁和高管,要么需要采取行動,要么僅供參考。”而五個外部因素是世界其他地區正在發生的事情,無論是地緣政治事件、競爭對手還是地區性事件,我們都可以學習,這將惠及整個公司。
Baloo還相信谷歌無可指責的事后哲學,該公司也遵循了這一做法。“我們不是想讓任何人在這件事上得罪人,我們只是想把它調整好。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號