如何构建有效的安全认知计划 | Trend Micro (美国)
组织投资先进工具来保护资产,但人类仍然是最持久的攻击媒介。每年,绝大多数数据泄露都源于人类行为,这进一步印证了这一点。最终,员工被要求始终保持高度警惕——尽管他们尽了最大努力,但每个人都会犯错,而且你无法防御未知的威胁。通过构建强大的安全认知和培训计划,你可以帮助员工成为抵御网络攻击的第一道防线。
以下是帮助你在组织中引入安全认知和培训策略的步骤:
1. 识别关键利益相关者并获得高管支持
找到需要参与安全认知策略的关键人员,并确保获得高管的强力支持。高管将能够获得实施计划所需的预算和资源;他们还将通过将安全定位为全公司优先事项来推动文化和参与度。
为了赢得高管的支持,沟通该计划如何与公司范围内的优先事项(包括合规要求和数字化转型)保持一致。你还可以解释人为导致的数据泄露的潜在财务影响,以及通过预估节省带来的投资回报。
2. 评估组织的网络安全成熟度水平
进行需求评估,以确定员工存在最大差距的地方,从而知道优先培训哪些方面。为此,你可以运行关于安全知识的组织调查,进行基线钓鱼模拟,并评估先前的事件。
3. 设定基于风险的目标
根据人员、流程和技术定义结果驱动的目标。这些目标将提供清晰的进度跟踪和价值展示方式。
以下是一些目标示例:
- 降低模拟点击率
- 提高培训完成率
- 增加向IT/信息安全部门报告的可疑电子邮件数量
- 减少因人为错误导致的数据泄露事件
- 实施和衡量用户风险评分
4. 选择最适合组织的方法
根据组织的规模和基础设施,选择适当的工具。你可以使用专门的安全认知和培训产品,将现代钓鱼模拟与基于风险的培训模块相结合。这样做的一个优势是能够依赖供应商提供和更新专门构建的培训内容库。组织也可以拥有自己的内部学习管理系统(LMS)向员工提供培训,并寻找单独的工具来补充它。
5. 战略性推广和参与
确保员工参与网络安全倡议是关键。你可以采取以下措施来获得他们的支持:
- 内部推广:使用海报、电子邮件和在线横幅来强化你的信息。
- 领导层的启动信息
- 创建一个所有员工都可以访问的专门用于网络安全政策的空间
- 确保培训对不同受众来说有趣且易于消化
- 利用十月的网络安全意识月来推广计划和举办活动。
- 为了推动参与,你可以为员工提供激励(例如,礼品卡)并添加游戏化策略(例如,排行榜、徽章)。
6. 衡量计划的有效性
跟踪安全认知计划的指标以维持持续支持非常重要。完成率可以反映员工的知识水平。你还需要展示他们的行为是否因计划而最终改变——这可以通过报告的钓鱼事件数量等指标看到。你还可以跟踪供应商分配给员工的风险评分的波动。
7. 分段和定制
员工根据角色和行为等因素承担不同级别的风险。强大的安全认知解决方案应超越钓鱼模拟结果,允许你根据实际风险定制培训。在这里,自动化可以通过允许你分配基于风险的培训而无需持续的手动操作来改变游戏规则。
8. 发展网络安全文化
你计划的最终目标应该是推动持久的行为改变并创建安全意识文化。这是战略性培训计划、领导支持和员工之间一致沟通的结果。当做得正确时,安全可以成为组织运营的核心部分。
人类风险的独特方法
Trend Micro 将安全认知和培训能力纳入我们的威胁和暴露管理策略,以提供组织风险的全面视图。它们共同使你能够主动处理所有风险途径,并提供更多背景和清晰度。这还提供了构建员工完整风险概况的活动和数据——然后你可以看到用户如何影响你的整体风险状况,并直接解决这些问题。
这种方法使你能够:
- 根据用户的各种行动和行为,优先为高风险用户提供培训。
- 预测潜在攻击路径中的员工,并针对他们进行培训。
- 根据账户泄露的总体风险和弱认证账户数量等指标跟踪员工行为变化。
- 设置自动化工作流程,根据选定的风险事件和条件向员工部署培训。
- 整合你的安全认知、暴露管理和身份能力,以实现更快、更战略性的风险降低。
Trend Vision™ One 安全认知应用程序是我们网络风险暴露管理(CREM)产品的一部分。了解我们如何支持你的旅程。