你呢?
你可能会从网络安全的三大支柱战略方法中找到灵感。
第一个支柱是人
网络安全的三支柱方法包括人员、流程、数据和信息。在这里,我们将重点关注第一个支柱:人
人可以说是最大的风险。我们所说的人是指员工,以及组织可能接触到的其他个人,即承包商。
目标是谁?
根据Verizon的2018年数据泄露调查报告,网络钓鱼或其他形式的社会工程导致了93%的数据泄露。为了使网络钓鱼或社会工程攻击成功,攻击者需要一个目标来上钩。你的员工经常是目标,也就是咬人的鱼。因此,在实施IT安全措施的同时,培训员工对于防止此类网络安全攻击至关重要。雇主必须让员工意识到,点击钓鱼邮件中的链接、下载来自未知发件人的附件或响应要求提供凭据/登录信息或其他数据的相关风险。
最便宜,最有效的工具
员工培训是一个组织可以用来降低网络攻击风险的最便宜和最有效的工具之一。这种培训可以是正式的也可以是非正式的。正式的培训将包括贵组织的政策和程序以及具体的事件响应培训。对于非正式培训,组织应该考虑定期向员工发送电子邮件,详细说明当前的威胁和模拟网络钓鱼攻击,并提供后续反馈。例如,电子邮件爆炸可以包括以下提醒:
- 当员工通过电子邮件被要求提供登录凭证时,即使电子邮件看起来是合法的。
- 企业应考虑在12月、1月和2月向员工提供一年一度的W2网络钓鱼骗局增加可能性的更新。在此期间,发薪人员最有可能收到一封据称来自首席执行官或首席财务官的电子邮件,要求提供所有员工W2信息。
总的来说,这些类型的提醒是一种很好的方式,可以确保在更正式的培训课程之间,网络安全始终保持在员工脑海中的首要位置。
桌面演习
实用的培训方法不应该仅限于组织的普通员工。除了上述员工培训外,公司还应考虑进行桌面演习,以准备在遭遇不幸事件时做出反应。具体来说,这些演习模拟数据泄露事件,并允许组织的高管测试组织使用其正式的政策和程序在攻击事件中响应的能力。总的来说,通过频繁接触和定期培训,您的组织将形成一种网络安全意识的文化。
网络安全的最后两个支柱是流程(我们应该如何行动和运作)和数据和信息.这些将在以后的文章中讨论。