以下是你目前的培訓(xùn)沒有效果的八個(gè)原因,以及企業(yè)應(yīng)該考慮什么才能讓它更具吸引力。
1.調(diào)整網(wǎng)絡(luò)安全培訓(xùn)的方法是打破常規(guī)
Security Innovation的首席執(zhí)行官Ed Adams表示,讓培訓(xùn)變得有效的“更好方法”是讓人們表現(xiàn)得像攻擊者,模仿復(fù)雜、快速演變的網(wǎng)絡(luò)攻擊世界,特別是在軟件安全方面,他指出,根據(jù)該公司與波內(nèi)蒙研究所的2023年研究,包括現(xiàn)實(shí)模擬在內(nèi)的網(wǎng)絡(luò)安全培訓(xùn)項(xiàng)目可以提供更高的投資回報(bào)率。
像這樣的培訓(xùn)計(jì)劃可能包括任務(wù)、挑戰(zhàn)——例如破壞訪問控制——競賽,以及帶有補(bǔ)充實(shí)驗(yàn)室和課程的排行榜,以評估能力并最大限度地提高學(xué)習(xí)和協(xié)作能力。他告訴記者:“能夠看到數(shù)據(jù)被盜和欺詐性交易形式的攻擊的含義,將漏洞從理論問題轉(zhuǎn)變?yōu)閷?shí)際問題。”
他的建議是,根據(jù)一個(gè)人的角色和他們的技術(shù)平臺(tái)量身定做培訓(xùn)。他說:“有了模塊化的安全課程,就更容易將安全概念分解成針對特定角色的可互換的核心組成部分。在這種方法中,培訓(xùn)必須具有參與性和情境性,以確保掌握,同時(shí)跟上安全團(tuán)隊(duì)面臨的最新威脅。”
培訓(xùn)計(jì)劃還需要定期更新,并不斷更新最新的威脅情報(bào)。Adams說:“沒有什么比每年提供一次過時(shí)的內(nèi)容更能告訴人們你不把培訓(xùn)當(dāng)回事。”雖然你不能強(qiáng)迫人們吸收他們不想要的知識(shí),但強(qiáng)制性培訓(xùn)也可以是激勵(lì)的,但加強(qiáng)為什么要建立以安全為重點(diǎn)的文化至關(guān)重要。
自定進(jìn)度的學(xué)習(xí)對于擴(kuò)展知識(shí)和靈活性也很重要,融入親密的生活環(huán)境可以建立團(tuán)隊(duì)合作。“這就是為什么由講師指導(dǎo)的團(tuán)隊(duì)意識(shí)活動(dòng)是有效的,即使是遠(yuǎn)程的。培訓(xùn)培訓(xùn)師或?qū)W徒計(jì)劃的選項(xiàng)對于組織的成熟和認(rèn)同至關(guān)重要。接受‘自己人’的培訓(xùn)會(huì)帶來新的視角,并增加傾聽和學(xué)習(xí)的意愿。”
2.要想使培訓(xùn)有效,需要重視安全文化
馬里蒙特大學(xué)(Marymount University)兼職教授、網(wǎng)絡(luò)醫(yī)生(Cyber Doctor)創(chuàng)始人Stephen Boyce表示,CISO可能會(huì)錯(cuò)過的是,在網(wǎng)絡(luò)安全培訓(xùn)中超越以復(fù)選框合規(guī)為重點(diǎn)的方法。
要使企業(yè)的安全文化成熟,需要更多的預(yù)算和人力資源。Boyce告訴記者:“除了技術(shù)人才,企業(yè)還應(yīng)該用非傳統(tǒng)背景的人才來支持他們的員工隊(duì)伍,比如人的因素、心理學(xué)和安全專業(yè)人員。”
每個(gè)企業(yè)都有或缺乏安全文化,隨著時(shí)間的推移,隨著時(shí)間的推移,有了專門的資源,這種文化應(yīng)該會(huì)成熟,就像它的網(wǎng)絡(luò)安全計(jì)劃一樣。他說:“一個(gè)企業(yè)的網(wǎng)絡(luò)安全計(jì)劃的影響力取決于該企業(yè)的安全文化,以及它是否使用了多種交付方法,將員工不同的學(xué)習(xí)風(fēng)格結(jié)合在一起。”
他說:“一些企業(yè)使用不同的交付方法,根據(jù)個(gè)人的風(fēng)險(xiǎn)狀況而不是他們的職稱或部門來定制他們的培訓(xùn)計(jì)劃,這需要他們員工的個(gè)人基線來了解每個(gè)員工的風(fēng)險(xiǎn)狀況。然后進(jìn)行持續(xù)評估,以了解他們在應(yīng)對當(dāng)前威脅時(shí)的優(yōu)勢和劣勢,從而提供與員工相關(guān)的有意義的培訓(xùn)。”
但Boyce認(rèn)為,這種做法未來需要改變。“今天的安全培訓(xùn)和教育項(xiàng)目是由數(shù)字移民為數(shù)字移民設(shè)計(jì)的,然而,隨著勞動(dòng)力人口結(jié)構(gòu)的持續(xù)變化和數(shù)字原住民在勞動(dòng)力中的主導(dǎo)地位,企業(yè)會(huì)發(fā)現(xiàn)他們一貫的做法不再那么有效。”
他說:“一些培訓(xùn)項(xiàng)目正在提供可以從一個(gè)雇主轉(zhuǎn)移到另一個(gè)雇主的數(shù)字徽章,使企業(yè)能夠在未來員工開始工作日期之前確定他們的基線,并將培訓(xùn)項(xiàng)目與人力資源系統(tǒng)聯(lián)系起來。”
3.該行業(yè)需要一種不同的方式來衡量人類風(fēng)險(xiǎn)
“為什么它很糟糕?AwareGO的聯(lián)合創(chuàng)始人兼研發(fā)主管Ragnar Sigurdsson表示:“它太長了,太技術(shù)了,安全管理員太依賴釣魚模擬了。”他認(rèn)為,網(wǎng)絡(luò)培訓(xùn)應(yīng)該是愉快的,但也是小規(guī)模的;保持培訓(xùn)視頻不超過兩分鐘,使用演員而不是卡通,并利用廣告行業(yè)的技巧,以一種更快、更吸引人的方式傳達(dá)有關(guān)威脅的信息。“人們很快就會(huì)失去興趣,如果他們覺得自己的時(shí)間被浪費(fèi)了,他們就會(huì)開始憎恨培訓(xùn),不會(huì)參加培訓(xùn),”Sigurdsson說。
他說:“幾十年來,公司一直依靠網(wǎng)絡(luò)釣魚模擬來告訴他們公司在網(wǎng)絡(luò)安全方面的立場,這些測試確實(shí)讓你對自己的風(fēng)險(xiǎn)狀況有了一些了解,但只在一個(gè)方面(他們點(diǎn)擊了還是沒有點(diǎn)擊),即使這樣,信息也不是那么好,它們不會(huì)顯示人們是否忽視了這封電子郵件,如果他們轉(zhuǎn)發(fā)了它,他們是如何決定它是安全的還是不安全的等等,這些都是非常重要的信息,安全管理員應(yīng)該想知道這些信息,以便他們能夠補(bǔ)救真正的問題。”他說。
眾所周知,釣魚模擬也會(huì)對員工產(chǎn)生負(fù)面影響,因?yàn)樗鼈儠?huì)讓人們在使用真實(shí)組織的域時(shí)失敗,這使得釣魚電子郵件幾乎不可能被發(fā)現(xiàn)。Sigurdsson說:“這導(dǎo)致員工惡意合規(guī),聲稱公司的每一封電子郵件都是釣魚郵件,不回復(fù)電子郵件或會(huì)議請求。”
我們需要一種不同的方法來衡量人類風(fēng)險(xiǎn)。不是標(biāo)準(zhǔn)化的問卷調(diào)查或網(wǎng)絡(luò)釣魚模擬,而是針對多個(gè)威脅領(lǐng)域的獨(dú)立和互動(dòng)評估方案,每個(gè)方案都揭示了不同水平的知識(shí)和行為。Sigurdsson傾向于從人類風(fēng)險(xiǎn)評估開始,然后使用該評估來建立具有相關(guān)主題的培訓(xùn)計(jì)劃。
將獎(jiǎng)勵(lì)和游戲化結(jié)合起來有助于激勵(lì)和一些良性競爭。此外,最好是向員工提供分?jǐn)?shù)和關(guān)于他們正確答案和錯(cuò)誤答案的信息,而不是簡單地說“不及格”。Sigurdsson補(bǔ)充道:“并為得分最高的員工提供獎(jiǎng)勵(lì),并在不同地點(diǎn)或部門內(nèi)建立排行榜。”
他認(rèn)為,還有必要在內(nèi)部“推銷”網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃,以幫助買入。他說:“宣傳得不好的安全項(xiàng)目很少能獲得成功。倡議背后需要一個(gè)平易近人的人;部門負(fù)責(zé)人和中層管理人員需要全力以赴并給予支持,才能獲得一些吸引力。”好的成績應(yīng)該得到表揚(yáng)和吶喊,而差的成績必須通過訓(xùn)練來補(bǔ)救,不能責(zé)備或羞愧。他說:“安全計(jì)劃不能是來自最高層的指令,而是作為從首席執(zhí)行官到看門人的所有人的共同責(zé)任。”
4.游戲化和在實(shí)踐中學(xué)習(xí)
Skill able執(zhí)行主席兼聯(lián)合創(chuàng)始人Corey Hynes表示,游戲化在安全領(lǐng)域尤其奏效,參與者喜歡展示知識(shí)和技能。安全游戲,如攻擊/防御、奪旗和紅色對藍(lán)色,始終實(shí)現(xiàn)更高的參與率,產(chǎn)生更好的學(xué)習(xí)結(jié)果和技能獲得。根據(jù)Hynes的說法,當(dāng)單獨(dú)完成排行榜時(shí),排行榜是激勵(lì)學(xué)習(xí)的一個(gè)很好的工具。
Hynes說:“將游戲化納入培訓(xùn)計(jì)劃,并不需要很復(fù)雜才能有效。復(fù)雜的計(jì)分卡或復(fù)雜的自動(dòng)化和評分可能是不必要的。然而,將人們放在同伴小組中,由能夠管理互動(dòng)和促進(jìn)良性競爭的教練或協(xié)調(diào)員監(jiān)督,可能是非常有效的。”他認(rèn)為,太多的節(jié)目依賴于“邊看邊學(xué)”,而沒有給予“邊做邊學(xué)”足夠的重視。
在未來,隨著攻擊變得更加復(fù)雜和頻繁,通常得益于GenAI的進(jìn)步,Hynes認(rèn)為,企業(yè)必須讓人們準(zhǔn)備好在第一時(shí)間做出快速而正確的反應(yīng)。“要為這個(gè)現(xiàn)實(shí)做準(zhǔn)備,你需要的不僅僅是閱讀或觀看視頻。”
5.摒棄一刀切的做法
NINJIO網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的首席執(zhí)行官Shaun McAlmont表示,將課程個(gè)性化是至關(guān)重要的,以滿足學(xué)習(xí)者的需求。“要做到這一點(diǎn),公司需要一個(gè)培訓(xùn)計(jì)劃,使他們能夠根據(jù)個(gè)人或團(tuán)隊(duì)的需求量身定做課程,解決他們角色或個(gè)人弱點(diǎn)的現(xiàn)實(shí)問題。”McAlmont告訴記者。
他認(rèn)為,許多網(wǎng)絡(luò)安全意識(shí)項(xiàng)目的幾個(gè)共同特征是被誤導(dǎo)的,因?yàn)樗鼈兂鲇诤弦?guī)目的勾選了一個(gè)框,但沒有考慮人們?nèi)绾螌W(xué)習(xí)以及如何讓他們改變自己的行為。“如果人們從一開始就置身事外,他們就不會(huì)學(xué)習(xí)和改變行為,所以我們需要考慮三件事來呈現(xiàn)這些信息:時(shí)機(jī)、相關(guān)性和個(gè)性化。”
由于網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的話題,有很多技術(shù)細(xì)節(jié),每年給某人上一次課并不會(huì)帶來更安全的企業(yè),因?yàn)槿藗儾粫?huì)很好地保留信息,也不會(huì)改變他們正在做的事情。相反,每月定期培訓(xùn)可能會(huì)將網(wǎng)絡(luò)安全意識(shí)的需求放在首位。
McAlmont說,反復(fù)的學(xué)術(shù)研究發(fā)現(xiàn),最佳演講時(shí)長為15分鐘,那么為什么要試圖在長時(shí)間的勞動(dòng)力培訓(xùn)中傳達(dá)超重要的信息呢?“取而代之的是,把訓(xùn)練分成更短、更容易理解的部分,然后把它們分散到每月固定的節(jié)奏中。這樣做可以避免學(xué)習(xí)者疲憊不堪,并降低他們在午餐前忘記一切的可能性。”
為了保持培訓(xùn)的相關(guān)性,需要向?qū)W習(xí)者展示像網(wǎng)絡(luò)安全這樣的技術(shù)主題如何適應(yīng)他們的生活。McAlmont說:“這意味著要建立一個(gè)相關(guān)的故事,讓人們想:‘這可能真的會(huì)發(fā)生在我身上’,或者他們需要能夠?qū)⑴嘤?xùn)中的主題與現(xiàn)實(shí)生活中的事件聯(lián)系起來。”
當(dāng)某人犯了錯(cuò)誤時(shí),無論是被IT部門的模擬釣魚郵件迷住了,還是被真正的攻擊迷住了,太多的程序都會(huì)依賴于懲罰性的方法,比如讓這個(gè)人參加“補(bǔ)救性培訓(xùn)”,或者給他打一個(gè)負(fù)分。他表示:“相反,要保持積極和不帶偏見。如果網(wǎng)絡(luò)安全意識(shí)培訓(xùn)不帶有負(fù)面內(nèi)涵或引發(fā)恐懼情緒,人們更有可能參與其中,并為之做出積極貢獻(xiàn)。”
這種方法是圍繞人們?nèi)绾螌W(xué)習(xí)改變他們的行為而建立的,這是一個(gè)比勾選合規(guī)計(jì)劃的框要好得多的目標(biāo)。McAlmont說:“事實(shí)證明,使用動(dòng)畫風(fēng)格、故事驅(qū)動(dòng)的插曲內(nèi)容是該行業(yè)制作的最吸引人的內(nèi)容之一。將這種娛樂性的方式與個(gè)性化交付相結(jié)合是全新的。”
6.網(wǎng)絡(luò)教育需要成為一種享受
當(dāng)涉及到教育時(shí),我們低估了講故事的力量,這意味著與其在培訓(xùn)模塊中使用假設(shè)場景,不如分享現(xiàn)實(shí)世界的入侵、騙局或網(wǎng)絡(luò)釣魚。SEI的網(wǎng)絡(luò)安全主管Mike Lefebvre告訴記者:“從實(shí)際的網(wǎng)絡(luò)戰(zhàn)爭故事中學(xué)習(xí)可以從一個(gè)實(shí)際的網(wǎng)絡(luò)事件中學(xué)到很多教訓(xùn)。”
他說:“員工需要關(guān)心網(wǎng)絡(luò)安全培訓(xùn),才能改變員工的行為。如果網(wǎng)絡(luò)培訓(xùn)被定位為一種生活技能,可以幫助保護(hù)工作中和家里的員工,那么就有可能提高培訓(xùn)參與度。”
它需要及時(shí)、相關(guān)、吸引人、可接觸和簡潔,也就是治療。“因此,當(dāng)終端用戶點(diǎn)擊錯(cuò)誤的鏈接或下載錯(cuò)誤的電子郵件附件時(shí),我們可以近乎實(shí)時(shí)地向他們介紹微型課程,而不是使用復(fù)雜的、正式的培訓(xùn)模塊,”他說。“在網(wǎng)絡(luò)安全變得像安全帶或安全氣囊一樣無縫之前,我們還有很多工作要做。”
至于人工智能,目前還不清楚這對網(wǎng)絡(luò)教育和培訓(xùn)到底意味著什么,但它的巨大普及可能會(huì)改寫一些學(xué)習(xí)規(guī)則。它可能更像是一種“垃圾輸入,回收信息輸出”的情況,而不是迄今為止計(jì)算機(jī)科學(xué)定義的“垃圾輸入,垃圾輸出”的格言。“人工智能的突破表明,有可能從看似糟糕的數(shù)據(jù)中獲得一些情報(bào),”他表示。
Lefebvre認(rèn)為,未來需要對教育和培訓(xùn)項(xiàng)目進(jìn)行重大改造,以吸引即將與人工智能一起成長的一代人。“人工智能有可能從根本上改變我們?nèi)祟愄幚砗蜋z索信息的方式,”他說。
7.通過冒險(xiǎn)和非冒險(xiǎn)的行動(dòng)向員工提供實(shí)時(shí)反饋
Uptycs的CISO和產(chǎn)品戰(zhàn)略副總裁Kevin Paige表示,觀看基于計(jì)算機(jī)的視頻的傳統(tǒng)培訓(xùn)不起作用。“觀看一個(gè)你不理解的話題的視頻,指望別人記住內(nèi)容,并將其應(yīng)用到現(xiàn)實(shí)世界中,這不是人們學(xué)習(xí)的方式。”
更好的方法是接入收集個(gè)人安全和風(fēng)險(xiǎn)遙測的系統(tǒng),并使用這些數(shù)據(jù)向員工提供實(shí)時(shí)反饋,以及個(gè)人每天采取的有風(fēng)險(xiǎn)和無風(fēng)險(xiǎn)的行動(dòng)。“就像用積極和消極的增援來訓(xùn)練一只狗一樣,我們可以根據(jù)實(shí)時(shí)的行動(dòng)/信息來訓(xùn)練人類。”Paige說。
Paige認(rèn)為,培訓(xùn)應(yīng)該直接展示當(dāng)員工點(diǎn)擊釣魚電子郵件、在互聯(lián)網(wǎng)瀏覽器中鍵入密碼、打開共享文件或從不安全的網(wǎng)站下載病毒時(shí)會(huì)發(fā)生什么。當(dāng)員工沒有從未經(jīng)批準(zhǔn)的來源下載軟件時(shí),他們應(yīng)該得到積極的反饋。如果組織能夠?qū)⑦@些反饋捆綁在一起,并給員工一個(gè)風(fēng)險(xiǎn)評分,這將使他們能夠評估他們公司的整體風(fēng)險(xiǎn)狀況。
8.讓網(wǎng)絡(luò)安全成為商業(yè)對話的一部分,但要保持相關(guān)性
網(wǎng)絡(luò)安全意識(shí)和培訓(xùn)不能只是一次性的活動(dòng),相反,它需要是關(guān)于威脅和風(fēng)險(xiǎn)格局不斷變化的性質(zhì)的定期、持續(xù)的對話。
為了幫助將潛在風(fēng)險(xiǎn)保持在人們頭腦中的前沿,Rapid7開發(fā)了自己的組織范圍內(nèi)每周安全公告,涵蓋了內(nèi)部和外部風(fēng)險(xiǎn)和威脅。就像每周的風(fēng)險(xiǎn)報(bào)告一樣,高級(jí)領(lǐng)導(dǎo)層有一個(gè)版本,企業(yè)的其他人也有另一個(gè)版本,其目的是報(bào)道嚴(yán)肅的主題,但以簡短有力的方式進(jìn)行。
Rapid7的CSO Jaya Baloo告訴記者:“最多五個(gè)項(xiàng)目,因?yàn)槲也皇窍胱屓魏稳顺?fù)荷工作,我只是想讓每個(gè)人都變得更有水平,開始越來越具體地思考會(huì)影響我們企業(yè)的網(wǎng)絡(luò)安全問題。”
她說:“Leadance One有五個(gè)內(nèi)部項(xiàng)目,我們認(rèn)為這些項(xiàng)目對企業(yè)來說是真正的風(fēng)險(xiǎn),這些項(xiàng)目會(huì)交給高級(jí)副總裁和高管,要么需要采取行動(dòng),要么僅供參考。”而五個(gè)外部因素是世界其他地區(qū)正在發(fā)生的事情,無論是地緣政治事件、競爭對手還是地區(qū)性事件,我們都可以學(xué)習(xí),這將惠及整個(gè)公司。
Baloo還相信谷歌無可指責(zé)的事后哲學(xué),該公司也遵循了這一做法。“我們不是想讓任何人在這件事上得罪人,我們只是想把它調(diào)整好。”
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。