網絡安全中有一句古老的格言，人類是安全鏈中最薄弱的環節。隨著威脅行為者競相剝削輕信或粗心的員工，這種情況越來越正確。但也有可能將這個薄弱環節變成一個強大的第一道防線。關鍵是推出有效的安全意識培訓計劃。

研究表明，2021年分析的數據泄露中有82%涉及“人為因素”。現代網絡威脅的一個不可避免的事實是，員工是攻擊的首要目標。但是，為他們提供發現攻擊警告信號所需的知識，並瞭解他們何時可能將敏感數據置於危險之中，並且有巨大的機會推進風險緩解工作。

什麼是安全意識培訓？

意識培訓可能不是IT和安全領導者希望在其計劃中實現的目標的最佳綽號。實際上，目標是通過改進有關關鍵網絡風險所在以及可以學習哪些簡單的最佳實踐來減輕這些風險的教育來改變行為。這是一個正式的過程，理想情況下應該涵蓋一系列主題領域和技術，使員工能夠做出正確的決策。因此，它可以被視為希望通過設計創建安全企業文化的組織的基礎支柱。

為什麼需要安全意識培訓？

像任何類型的培訓計劃一樣，這個想法是提高個人的技能，使他們成為更好的員工。在這種情況下，提高他們的安全意識不僅可以使個人在各種角色中處於有利地位，而且可以降低潛在破壞性安全漏洞的風險。

事實是，企業用戶是任何組織的核心。如果它們可以被黑客入侵，那麼組織也可以。同樣，他們對敏感數據和IT系統的訪問增加瞭發生事故的風險，這也可能對公司產生負面影響。

幾個趨勢凸顯瞭對安全意識培訓計劃的迫切需要：

密碼：靜態憑據與計算機系統一樣存在很長時間。盡管多年來安全專傢懇求，但它們仍然是最受歡迎的用戶身份驗證方法。原因很簡單：人們本能地知道如何使用它們。挑戰在於，它們也是黑客們的巨大目標。設法誘騙員工交出它們，甚至猜測它們，並且通常沒有其他任何東西可以阻止完全的網絡訪問。

據估計，超過一半的美國員工在筆和紙上寫下瞭密碼。糟糕的密碼事件為黑客打開瞭大門。隨著員工需要記住的憑據數量的增加，濫用的可能性也在增加。

社會工程學：人類是善於交際的生物。這使我們容易受到說服。我們希望相信我們被告知的故事和講述它們的人。這就是社會工程學起作用的原因：威脅行為者使用時間壓力和冒充等說服技術來誘騙受害者執行他們的命令。最好的例子是網絡釣魚電子郵件，短信（又名短信）和電話（又名網絡釣魚），但它也用於商業電子郵件妥協（BEC）攻擊和其他詐騙。

網絡犯罪經濟：如今，這些威脅行為者擁有一個復雜而復雜的地下暗網站網絡，通過這些網絡可以購買和銷售數據和服務 – 從防彈托管到勒索軟件即服務。據說它價值數萬億美元。網絡犯罪行業的這種“專業化”自然導致威脅行為者將精力集中在投資回報率最高的地方。在許多情況下，這意味著針對用戶本身：企業員工和消費者。

混合工作：據認為，傢庭工作人員更有可能點擊網絡釣魚鏈接並從事危險行為，例如將工作設備用於個人用途。因此，混合工作新時代的出現為攻擊者打開瞭一扇門，讓他們在企業用戶最容易受到攻擊時瞄準他們。更不用說傢庭網絡和計算機可能不同於辦公室的同類產品受到保護。

為什麼培訓很重要？

最終，嚴重的安全漏洞，無論是由第三方攻擊還是意外數據泄露引起的，都可能導致重大的財務和聲譽損失。最近的一項研究顯示，遭受此類違規行為的企業中有20%幾乎因此破產。另一項研究稱，全球數據泄露的平均成本現在比以往任何時候都要高：超過420萬美元。

這不僅僅是雇主的成本計算。HIPAA、PCI DSS 和薩班斯-奧克斯利法案 （SOX） 等許多法規都要求合規組織運行員工安全意識培訓計劃。

如何使意識計劃發揮作用

我們已經解釋瞭“為什麼”，但是“如何”呢？首席信息安全官應首先咨詢人力資源團隊，這些團隊通常領導企業培訓計劃。他們也許能夠提供臨時建議或更協調的支持。

要涵蓋的領域可能包括：

社交工程和網絡釣魚/網絡釣魚/短信詐騙

通過電子郵件意外披露

網絡保護（安全搜索和使用公共Wi-Fi）

密碼最佳做法和多重身份驗證

安全的遠程和在傢工作

如何發現內部威脅

最重要的是，請記住，課程應該是：

有趣和遊戲化（認為積極的強化而不是基於恐懼的信息）

基於真實世界的模擬練習

全年連續運行，課程簡短（10-15分鐘）

包括每位員工，包括高管、兼職人員和承包商

能夠生成可用於調整程序以滿足個人需求的結果

量身定制以適應不同的角色

一旦決定瞭所有這些，找到合適的培訓機構就很重要。好消息是，在線上有很多價格選擇，包括免費工具。鑒於當今的威脅形勢，不采取行動不是一種選擇。