網路安全太枯燥?“遊戲”防禦展拳腳
在防範網路犯罪的程式中,企業員工正在迅速發展成為最薄弱的一環:常識只能保證我們走完一程,僅此而已,而且還要確保圍繞安全所採取的最佳實踐不被當作耳旁風,左耳進右耳出。不論是員工無意間所犯的錯誤,還是其已被黑客鎖定並通過他們來獲取敏感資訊,員工一旦犯錯都可以輕易地為惡意軟體和資訊竊取大開方便之門。
攻擊成功通常是因為程式不暢和利用人為的傾向。為了減少企業的威脅面,需要將定期員工培訓的重點從反應轉向防禦。在員工安全培訓中,純粹的以合規為導向的方法已被證明對企業無效,這種枯燥的培訓方式已經不足以激發員工的想象力。企業應側重教育員工如何保護他們的個人資料,從而鼓勵員工在工作場所採取進一步的安全導向的做法。
可以採取多樣化的員工培訓方式,其中便包括日益流行的“遊戲化”網路安全教育專案。遊戲化指的是將遊戲機制運用於非遊戲情境當中,利用遊戲中某些令人興奮的元素,將其應用到其他型別的不那麼有趣的活動當中。由於引入了競爭和獎勵等元素,遊戲化專案日益受到大眾歡迎,在各個行業被廣泛採用。
遊戲也解決網安難題
目前,有不少企業將遊戲化專案應用於實踐以提升績效和積極性,包括客戶參與和員工教育及培訓。其中,遊戲元素包括一對一競賽和獎勵計劃等。如何以遊戲化的方式來解決所在企業的安全問題,以下兩種關鍵方法可供企業管理者採用:
——增強培訓趣味性,提升員工參與度
遊戲化專案可助力企業以多種方式提升網路安全性,比如,向員工展示避免網路攻擊的技巧以及學習如何甄別軟體漏洞。全球諮詢公司普華永道通過其“威脅遊戲”來傳授網路安全知識。高管們在現實世界的網路安全環境中進行對抗,扮演攻擊者和捍衛者的角色。攻擊者選擇攻擊的策略、方法和技能,而捍衛者制定(防禦)戰略,投入正確的技術和人才來應對攻擊。該款遊戲讓高管們瞭解瞭如何準備和應對威脅,公司的準備情況以及他們的網路安全團隊每天需要面對的問題。
遊戲化有利於增強員工培訓的趣味性,提升員工參與的積極性,提高員工對網路安全實踐的認識,其中便包括如何正確處理攻擊。
——提供獎勵來鼓勵良好行為
大多數安全漏洞皆由人為失誤所致,這是因為員工要在規定期限內儘量快地完成工作,往往會忽視公司相關安全的重要政策。
例如,開展一種稱為“來釣我”的活動便是培訓員工電子郵件安全的一個行之有效的途徑,這包括定期在企業內傳送釣魚郵件,對員工的反應以及行動進行測試。
遊戲化使得企業能夠對那些遵守安全流程和堅持正確安全指導方針的員工予以獎勵,此舉將促進良好行為的進一步養成。這種遊戲化活動可以表現為,授予員工徽章或積分點數形式,在積分板上進行展示,從而形成整個辦公室你追我趕的局面。在某些企業,如果有員工達到一定要求後,他們會獲得一份諸如禮券之類的物質獎勵。
此外,該系統還有助於發現那些在遊戲化活動中表現不佳的人員,從而完成更進一步的網路安全培訓。
當員工表現良好時,對其認可並予以獎勵,能夠促使他們更加積極工作,激勵其採取安全措施,創造更加安全的網路工作環境。
持續性而非一次性
任何一個以安全意識為主的培訓,其核心便是教育員工要對他們在工作中所處理的資料以及他們在家建立和使用的資料負有同等責任感。所有圍繞安全意識進行的活動都應該保持持續性,而非一次性行動。不論企業規模是大是小,領導者有時可能會覺得他們缺乏有效的能夠推動網路安全教育活動所需的資源,其實這種活動也可以以經濟實惠的方式來進行。
——視覺材料有助於工作的開展
從一些小視訊、海報或競賽開始,讓每一位員工都能抓住重點資訊,那就是確保安全是每個人的責任。
——“下馬威”戰術不起作用了
企業的目的是要網路安全在員工中達成共識,因此需要將企業的這種遊戲化活動視作一種市場活動,其目的是說服員工改變其行為。
——言簡意賅,效果最好
長電子郵件總是被忽略,保持郵件的簡短和有趣,同時要注重採用上行下效的方法,即員工總是在效仿他們的領導,如果領導都不重視網路安全文化,那又怎麼能要求其員工也重視呢?這種做法的目的是教育員工採用最佳實踐,而不是逼迫他們成為安全專家。所以要保證這種方式有趣,能夠博人一笑,這樣確保每個人可以在同一時間對其形成深刻了解。
——強化和跟進是關鍵
培訓是一個持續的過程,要做到向那些行之有效的方法學習,必要時接受再教育。要重新對你的新老員工進行測試,檢查他們是否會落入釣魚郵件的圈套,檢查有哪些員工仍舊對假冒郵件難辨真偽。鼓勵員工就虛假資訊及時溝通和通報,鼓勵落後部門向先進看齊。我們的目的不是讓單個員工拔尖,而是在企業內部形成健康有序的競爭機制。
儘管消除業務中的網路風險需要一個持續的過程,但這些風險是可以進行管理的。企業需要一套行之有效的方法,鼓勵員工有疑問便能夠說出來,如有必要提供再教育。如果有員工還未接觸安全意識專案,但卻在點選惡意軟體之前就能提出疑問,就說明企業已經掃除了障礙,從而使網路環境變得更加安全了。
本文轉自d1net(轉載)
相關文章
- 思科網路安全新概念:自防禦網路(轉)
- 擬態防禦理論將改變網路安全遊戲規則遊戲
- 中國銀行總行網路安全深度防禦
- 如何防禦DDoS攻擊?學習網路安全多久?
- 三分鐘帶你瞭解網路安全主動防禦與被動防禦!
- 一文帶你瞭解網路安全中的主動防禦與被動防禦!
- 如何建設網路安全架構及防禦措施?架構
- 10大網路安全攻擊手段及防禦方法(二)!
- 如何防禦DDOS攻擊?網路安全技術學多久?
- 代理ip的網路防禦功能
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- 【網路安全經驗分享】CC攻擊防禦方法有哪些?
- 如何有效防禦XSS攻擊?網路安全學習教程
- 應對網路安全法,感知防禦強力支撐
- 5個常見的網路安全攻擊手段及防禦方法
- 高防伺服器如何防禦網路攻擊伺服器
- 網際網路公司如何防禦DDoS攻擊?
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 直播行業如何防禦網路攻擊?行業
- 電商平臺如何防禦網路攻擊?
- 代理伺服器的網路防禦探究伺服器
- API安全的防禦建設API
- 除了有網路安全法做護盾,還有安全公司欲借AI之風防禦網路攻擊AI
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 網路安全與防範
- PHP網站常見安全漏洞及防禦方法PHP網站
- Akamai淺談網路攻擊的防禦AI
- 常見網路攻擊有哪些?如何防禦?
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 網路安全成步入高危期政府打出安全組合拳
- 層次化防禦保證企業入口網站安全網站
- 防禦網路攻擊的六大絕招
- 如何使用Linux命令來防禦網路攻擊?Linux
- 網路釣魚攻擊常用方法及防禦措施!
- 防禦網路威脅UTM技術解密(圖示)解密
- 厚石工業乙太網交換機迎合等保2.0構築網路安全穩固防線
- 前端的安全問題與防禦策略前端
- 【技術向】OPC安全風險與防禦