首頁 > 信息安全 > 正文

選擇安全意識培訓服務商的七個標準

2020-08-24 16:51:34  來源:安全牛

摘要:2020年,由于疫情加速全球遠程辦公規?;统B化,企業攻擊面呈幾何級數放大,社工攻擊和釣魚攻擊激增。IAM、端點安全和網絡安全意識培訓成為增長最快的“爆款”網絡安全產品/服務。
關鍵詞: 安全 意識
  2020年,由于疫情加速全球遠程辦公規?;统B化,企業攻擊面呈幾何級數放大,社工攻擊和釣魚攻擊激增。IAM、端點安全和網絡安全意識培訓成為增長最快的“爆款”網絡安全產品/服務。
 
  根據GoSecurity的調查(下圖),網絡安全意識培訓是當下企業安全管理者眼中最有效的安全產品/服務,但在企業整體安全支出中的占比卻最低(不到10%)。
 
  好的網絡安全意識培訓能把“人的漏洞”變成“人肉長城”,把最弱的短板變成最堅固的防線,因此是性價比最高的,能夠快速提升企業網絡安全韌性的“剛需服務”。
 
  對于IAM和端點安全產品,市場上已經有比較成熟的評估工具和方法。但是對于網絡安全意識培訓服務,這個過去非常邊緣化不受重視的“選裝件”,很多企業的安全管理者依然沒有針對性的選型方法和標準。
 
  事實上網絡安全培訓是一項非常系統和專業的服務,許多企業依靠內部培訓團隊,但更多的企業則向外部供應商尋求幫助,因為安全威脅形勢發展如此之快,最好的辦法就是將培訓交給掌握最新趨勢的專家。
 
  但是,尋找一個能力匹配、值得信賴并長期合作的安全意識培訓合作伙伴并不容易。以下,我們匯總整理了優秀網絡安全意識培訓服務商的七個關鍵屬性。
 
  1. 與企業安全性原則的兼容性
 
  管理咨詢公司麥肯錫公司(McKinsey and Company)的專家助理合伙人查理·劉易斯(Charlie Lewis)說,安全意識培訓取得長期成功的關鍵是找到符合您組織的安全需求、政策和目標的提供商。在聯系供應商之前,有必要進行一些企業內部調研。他解釋說:“安全意識培訓產品應當成為好的網絡安全文化、網絡安全意識和安全變更管理計劃有機組成部分。這三個因素也是安全意識培訓選型和成功實施的關鍵條件。”
 
  美國陸軍網絡領導力教育計劃的制定者,美國軍事學院前美國政治學助理教授劉易斯(Lewis)建議說,選擇安全意識服務商需要達成內部共識,他說:“安全管理者需要與一線員工和業務負責人合作,以查看特定安全意識服務是否符合他們的需求和利益,這有助于確保選擇正確的產品和服務。”
 
  2. 參與能力
 
  ISACA女性領導力咨詢委員會的創始主席,澳大利亞家庭健康和高級護理服務提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray認為,安全意識培訓必須與企業文化以及員工能力匹配,提高員工的參與度。她指出:“千篇一律的培訓很難取得成功。培訓必須針對企業及其偏愛的學習方式進行一些調整。”
 
  商業咨詢公司Capgemini 北美公司的網絡培訓主管Dan Callahan指出,了解受眾的能力水平對于提供有效的,有針對性的培訓是必要的。他說:“有些培訓是補救性的,并且是由過于簡單的內容驅動的,忽視了員工角色和安全技能的差異。”“安全意識培訓的內容應當緊跟安全形勢,同時與客戶企業文化的相關性也很重要。”
 
  3. 培訓內容的針對性
 
  德勤網絡和戰略風險部門的風險和財務顧問負責人沙龍·錢德(Sharon Chand)認為,安全意識培訓一定要有針對性。“例如,內部員工和高管所采用的意識培訓方法可能不同于承包商或第三方供應商”。類似的,培訓特權訪問IT員工的方法也與油田操作技術員工的培訓有很大不同。她說:“我們發現,為獨特的受眾定制安全意識培訓內容會大大提高效率。”
 
  美國政府前任首席信息安全官,網絡安全公司AppGate Federal總裁,卡內基梅隆大學亨氏信息系統與公共政策學院兼職教員Greg Touhill表示,要確定網絡安全意識培訓的內容價值,沒有什么比實測評估更好。他說:“我真的很喜歡試用的形式,由隨機的員工組成選型委員會參加競標廠商的培訓計劃,進行試用,以評估他們的能力是否符合要求。”
 
  4. 完善的培訓內容滿足多樣化勞動力需求
 
  與員工分布在集中區域的小型組織相比,員工分布在區域或大洲的大型企業通常面臨更大范圍的本地化威脅。Touhill表示,他會隨時注意安全意識培訓工具,無論其位于何處,該工具在攻擊預防和可用性方面都將與整個團隊相關。他說:“我們在許多非英語母語的國家都有員工。”“因此,我很看重安全意識產品的多語言跨區域覆蓋能力。”
 
  5. 支持威脅建模集成
 
  大多數企業使用某種形式的威脅模型來識別、確認和處理網絡威脅。Touhill推薦那些利用威脅建模的意識培訓產品或服務。“例如,如果有一個特定的國家黑客組織或網絡犯罪團伙正在窺探我的知識產權,我會希望我的安全意識培訓計劃能夠有的放矢,幫助我的團隊了解如何正確應對威脅。”
 
  威脅建模通常被視為純粹的技術范疇,但實際上該模型也可以覆蓋商業利益和業務訴求。Callahan說:“重要的是確定您希望企業受眾考慮的安全意識信息類型……因為在許多情況下,內部威脅是最大的問題。”“良好的網絡意識培訓可以幫助預防和緩解大多數威脅。”
 
  Lewis認為安全意識培訓服務商有必要了解網絡威脅如何直接影響業務人員的安全培訓。他說:“威脅建模是成功實施安全意識培訓計劃的關鍵因素。”
 
  6. 合理的價格
 
  Touhill建議企業信息主管或安全主管與同行多溝通,以確定服務商的報價是否有競爭力。他說:“CISO社區在共享最佳實踐方面無與倫比。CISO之間的溝通可以幫助他們快速鎖定有競爭力的服務商候選者。”
 
  Callahan指出,CISO們需要提防試圖過度銷售產品或服務的提供商:“現在,許多企業的培訓內容和活動都有些過載。”他警告說:“因此,如果過多的安全意識培訓內容或信息被提供給員工,他們將超負荷工作,變得麻木。”
 
  7. 提供有效培訓的能力
 
  Chand指出:“在業務擴展、云計算、人工智能、機器學習、移動性和物聯網的推動下,生態系統全球化為攻擊者提供了更大的攻擊面。有效的安全意識培訓是應對這些挑戰的最佳方法。”
 
  為了評估特定安全意識培訓產品或服務的潛在有效性,Stewart-Rattray建議將包括人力資源和其他相關部門負責人在內的關鍵利益相關者納入決策過程。她說:“在評估產品的潛在有效性時,使用跨部門協作并確保關鍵利益相關者參與決策過程,并且在可能的情況下試用產品非常重要。”
 
  Lewis認為,概念驗證(PoC)試驗是在現實中檢驗安全意識培訓服務有效性的絕佳方法:“隨著時間的推移,您可能會開始看到階段性的培訓成果,例如惡意鏈接點擊率的下降。”“您將需要在整個概念驗證期間測量該指標,并連續評估該產品。”
 
  如果產品或服務不符合預期,請告知供應商。Lewis建議:“如果該工具實際上并沒有降低網絡釣魚的點擊率或人為錯誤造成的風險,請與服務商合作調整培訓節奏,如果所有方法均失敗,那么請開始尋找其他供應商。”
 
  確保安全意識培訓方法長期有效是一項開放性的任務。安全團隊必須不斷觀察安全意識培訓產品或服務的有效性。Callahan說:“大多數安全領導者都知道的一種常見方法是內部網絡釣魚測試。”另一種流行的方法是抽查員工的辦公桌面,查看是否有關鍵或敏感信息泄露的問題。

第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen
有谁不上班靠炒股赚钱 大乐透算法最准确五步 江西11选5官方开奖结果 云南11选五直选三技巧 湖北11选5走势图电视走势 陕西快乐10分破解如何计算 奇趣五分彩开奖号码 十五选五超长版走势图 股票为什么会涨跌 河南快3走势图100期 双色球最精准十个专家