保安意识培训

安全意识培训的种类

每个组织都会有一种更符合其文化的培训方式. 有很多选择，包括:

• Classroom training这使得教师可以看到学习者是否在整个过程中投入并做出相应的调整. 它还允许参与者实时提问.
• Online training这比面对面的培训效果好得多, 而且，由于学习者可以在任何方便的地方学习内容，因此它可能会对员工的工作效率造成较小的破坏. 这也可以让学习者按照自己的节奏学习材料.
• Visual aids休息室里的海报不能成为安全意识培训的唯一来源, 但如果做得有效, 它们可以作为有用的提醒.
• Phishing campaigns当前位置没有什么比意识到自己上当受骗更能吸引学习者的注意力了. 当然，没有通过网络钓鱼测试的学习者应该自动参加进一步的培训. 

在某些情况下，这些组合可能是最好的选择. 安全意识培训不是一劳永逸的. 通过多媒体进行定期的安全培训是理想的, 尤其是如果公司的人员流动率很高的话.

安全意识培训主题

在决定覆盖哪些主题时，还应考虑组织的独特威胁概况. 可能的主题包括但不限于:

• Phishing应该教育员工如何发现和报告 phishing 以及与可疑链接交互或在欺骗页面上输入凭据的危险. 网络钓鱼超越了传统的尼日利亚王子电子邮件骗局. 概述应该涵盖鱼叉式网络钓鱼, 可疑电话, 来自可疑社交媒体账户的联系, etc. 这里也将提供影响其他类似组织的网络钓鱼企图的示例.
• Physical security物理安全需求可能因组织的性质而异. 因为企业应该已经有了物理安全策略, 这是一个很好的机会，可以确保员工了解政策中适用于他们的部分, 比如锁好书桌抽屉，制定允许客人进入办公室的规定. 培训还应审查如何报告物理安全风险, 比如楼里有人没有佩戴客人徽章，或者敏感数据暴露在外.
• Desktop security: 概述未能在适当的时间锁定或关闭计算机以及将未经授权的设备插入工作站的潜在后果.
• Wireless networks解释无线网络的本质，并概述连接不熟悉的网络的风险.
• Password security复杂的密码要求和提示员工定期更改密码应该已经被强制执行, 但是密码安全培训对于解释重复使用密码的风险仍然很重要, 使用容易猜到的密码, 并且没有立即更改默认密码. 授权密码管理工具也可能包括在内
• Malware的培训课程 malware 应该定义恶意软件的类型并解释它们的能力吗. 用户可以学习如何发现恶意软件，以及当他们怀疑自己的设备被感染时该怎么做.

衡量保安意识培训的成效

有一个适当的过程来衡量培训的有效性是必不可少的. 一种方法是通过小测验. 在部署培训之前，应该进行测试，以获得基线测量，然后查看发生了什么变化. 如果钓鱼演习是定期进行的, 组织应该跟踪员工对这些训练的反应是改善了(还是恶化了)!)，但他们必须接受安全意识训练.

虽然这可能不太科学, 随着时间的推移，随着员工和资产的增加，组织还可以通过寻找安全事件数量和类型的趋势来确定培训的影响. 让一个人在办公室里走来走去寻找暴露的密码也可能很有趣, unlocked computers, 并对潜在的物理安全风险进行几次前后的培训，以确定行为是否发生了变化. 

考虑学习者的角度

安全性可能是安全团队的首要任务, 但其他团队也有自己的目标. 组织应该尽最大努力尊重这段时间——理想情况下, 培训应该根据员工的角色进行定制，以确保所有的培训内容都与个人及其所做的工作相关.

这可以让员工专注于重要的事情，并尽快回到工作中. 它还确保组织中风险较大的用户, 比如域管理员, 接受合适的培训 漏洞和威胁 和他们的工作更相关.

在与员工一起回顾政策和最佳实践时，一定要解释清楚 why 每一个都很重要. 如果用户了解政策的全部背景，并相信这是正确的做法，他们就更有可能遵守政策. For example, 从互联网上安装随机软件的风险变得更加明显，因为有人会很快发现一个伪装得很好的软件 ransomware 能加密他们工作站上的所有文件吗.

Finally, 如果有人在培训中遇到困难，组织应该避免点名个别员工，或者表现得居高临下. Instead, 团队领导应该专注于创造一种环境，让每个人都能轻松地提出问题和报告事件.

在训练结束时, 用户应该感到有能力帮助保护组织，并兴奋地与其他团队合作，以创建更安全的环境. 了解贵组织的独特需求和文化将是使培训成功的关键.

阅读更多关于SecOps的信息

安全操作:博客的最新消息