如何构建有效的安全意识计划 | Trend Micro (美国)
组织投资先进工具来保护资产,但人类仍然是最持久的攻击媒介。每年,大量由人类行为引发的违规事件都印证了这一点。最终,员工被要求时刻保持高度警惕——尽管尽了最大努力,但每个人都会犯错,而且你无法防御未知的威胁。通过构建强大的安全意识和培训计划,你可以帮助员工成为抵御网络攻击的第一道防线。
以下是帮助你在组织中引入安全意识和培训策略的步骤:
1. 识别关键利益相关者并获得高管支持
找到需要参与安全意识策略的关键人员,并确保获得高管的强力支持。高管将能够获得实施计划所需的预算和资源;他们还将通过将安全定位为全公司优先事项来推动文化和参与度。
为了赢得C级高管的支持,沟通该计划如何与公司范围内的优先事项(包括合规要求和数字化转型)保持一致。你还可以解释人为驱动违规的潜在财务影响以及通过估计节省带来的投资回报。
2. 评估组织的网络安全成熟度水平
进行需求评估,以识别员工存在最大差距的领域,从而知道在哪里优先进行培训。为此,你可以运行关于安全知识的组织调查,进行基线钓鱼模拟,并评估先前的事件。
3. 设定基于风险的目标
根据人员、流程和技术定义结果驱动的目标。这些目标将提供清晰的跟踪进度和展示价值的方式。
以下是一些目标示例:
- 降低模拟点击率
- 提高培训完成率
- 增加向IT/信息安全报告的可疑电子邮件数量
- 减少由于人为错误导致的违规事件
- 实施和衡量用户风险评分
4. 选择最适合组织的方法
根据组织的规模和基础设施,选择适当的工具。你可以使用专门的安全意识和培训产品,将现代钓鱼模拟与基于风险的培训模块相结合。这里的优势之一是能够依赖供应商提供和更新专门构建的培训内容库。组织还可以拥有自己的内部学习管理系统(LMS)来向员工提供自己的培训,并寻找单独的工具来补充它。
5. 战略性推广和参与
确保员工参与网络安全倡议是关键。你可以做几件事来获得他们的支持:
- 内部推广:使用海报、电子邮件和在线横幅来强化你的信息。
- 领导层的启动信息
- 创建一个专门用于网络安全政策的空间,所有员工都可以访问
- 确保培训对不同受众来说有趣且易于消化
- 利用十月的网络安全意识月来推广计划并举办活动。
- 为了推动参与,你可以为员工提供激励(例如,礼品卡)并添加游戏化策略(例如,排行榜、徽章)。
6. 衡量计划的有效性
跟踪安全意识计划的指标以维持持续支持非常重要。完成率可以反映员工的知识水平。你还需要展示他们的行为是否最终因计划而改变——这可以从报告的钓鱼事件数量等指标中看出。你还可以跟踪供应商分配给员工的风险评分的波动。
7. 分段和定制
员工将根据其角色和行为等因素承担不同级别的风险。强大的安全意识解决方案应超越钓鱼模拟结果,并允许你根据实际风险定制培训。这就是自动化可以改变游戏规则的地方,它允许你分配基于风险的培训,而无需持续的手动操作。
8. 发展网络安全文化
你计划的最终目标应该是推动持久的行为改变并创建安全意识文化。这是战略性培训计划、领导支持以及员工之间一致沟通的结果。当做得正确时,安全可以成为组织运营的核心部分。
人类风险的独特方法
Trend Micro将安全意识和培训功能纳入我们的威胁和暴露管理策略中,以提供组织风险的全面视图。它们共同使你能够主动处理所有风险途径,并提供更多背景和清晰度。这还提供了构建员工完整风险概况的活动和数据——然后你可以看到用户如何影响你的整体风险状况,并直接解决这些问题。
这种方法使你能够:
- 基于用户的无数行动和行为,优先为高风险用户提供培训。
- 预测潜在攻击路径中的员工,并针对他们进行培训。
- 根据账户泄露的总体风险和弱身份验证账户数量等指标跟踪员工行为变化。
- 设置自动化工作流程,根据选定的风险事件和条件向员工部署培训。
- 整合你的安全意识、暴露管理和身份功能,以实现更快、更战略性的风险降低。
Trend Vision™ One安全意识应用程序是我们网络风险暴露管理(CREM)产品的一部分。了解我们如何支持你的旅程。