安全教育培訓(xùn)計(jì)劃—安全生產(chǎn)教育培訓(xùn)主要內(nèi)容

從理論到實(shí)踐：設(shè)計(jì)成功的安全意識培訓(xùn)計(jì)劃

網(wǎng)絡(luò)安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動；從人力資源到財(cái)務(wù)再到 IT，每個(gè)人都發(fā)揮自己的作用。這就是為什么我從來不喜歡“人為錯(cuò)誤”或“人類是你最薄弱的環(huán)節(jié)”這個(gè)詞。

這是真的嗎？大概。但如果這是一項(xiàng)團(tuán)隊(duì)運(yùn)動，大部分責(zé)任都應(yīng)該落在教練身上。需要有人對您的員工進(jìn)行教育，并為他們提供有效的知識和工具。要成為一名優(yōu)秀的教練，您需要一個(gè)能夠推動真正的員工變革的安全意識培訓(xùn)計(jì)劃。

我們剛剛向客戶詢問了他們的安全意識計(jì)劃，其中 90% 的人告訴我們，他們已經(jīng)創(chuàng)建了一種“強(qiáng)大的網(wǎng)絡(luò)安全文化”，“使他們的組織更加安全和具有網(wǎng)絡(luò)彈性”。2021 年，85% 的違規(guī)行為涉及人為因素。2022年，這一比例為82%。今年，這一比例下降至 74%。

那么，創(chuàng)建安全意識計(jì)劃需要做什么？教練應(yīng)該將哪些安全意識最佳實(shí)踐納入他們的計(jì)劃中？讓我們將其分為五個(gè)關(guān)鍵步驟。

安全意識培訓(xùn)計(jì)劃的主要目標(biāo)之一是轉(zhuǎn)變您的網(wǎng)絡(luò)安全文化。這就是為什么我們建議盡快進(jìn)行安全文化調(diào)查。網(wǎng)絡(luò)釣魚率和培訓(xùn)完成率等指標(biāo)是很好的關(guān)鍵績效指標(biāo)，但快速調(diào)查可以幫助量化整個(gè)組織中員工的看法——無論是在網(wǎng)絡(luò)意識計(jì)劃啟動之前還是之后。您可能會驚訝于您的組織中安全威脅意識的差異如此之大，這可以幫助您了解如何推出培訓(xùn)計(jì)劃。

您還應(yīng)該評估您當(dāng)前的培訓(xùn)工作以及您希望從未來的計(jì)劃中獲得什么。想想一個(gè)成功的計(jì)劃對您和您的領(lǐng)導(dǎo)團(tuán)隊(duì)來說意味著什么。每個(gè)組織都是不同的。那些擁有敏感醫(yī)療數(shù)據(jù)的人與從事高等教育或電子商務(wù)工作的人有不同的要求和擔(dān)憂。不同的行業(yè)可能容易遭受不同的安全威脅，所有這些信息都應(yīng)該告訴您如何設(shè)計(jì)能夠?qū)崿F(xiàn)組織目標(biāo)的安全意識培訓(xùn)計(jì)劃。

現(xiàn)在您已經(jīng)評估了組織中獨(dú)特的網(wǎng)絡(luò)安全因素，您可以創(chuàng)建適合所有員工需求的安全意識培訓(xùn)計(jì)劃。創(chuàng)建計(jì)劃時(shí)需要記住以下幾點(diǎn)。

• 細(xì)分：培訓(xùn)不是一刀切的。正如每個(gè)組織都有不同的需求一樣，每個(gè)部門也可能有不同的需求。銷售團(tuán)隊(duì)面臨的網(wǎng)絡(luò)威脅可能與最高管理層面臨的網(wǎng)絡(luò)威脅不同。制定符合每位員工的角色要求、職責(zé)和當(dāng)前安全意識水平的網(wǎng)絡(luò)意識計(jì)劃。
• 學(xué)習(xí)設(shè)計(jì)最佳實(shí)踐：培訓(xùn)不一定是無聊的。它應(yīng)該簡短、引人入勝且持續(xù)。研究表明，每年一次、長達(dá)一小時(shí)的培訓(xùn)不如全年進(jìn)行的微學(xué)習(xí)有效。使用直接適用于每位員工的現(xiàn)實(shí)生活場景，使培訓(xùn)令人難忘且具有相關(guān)性。
• 游戲化：使用交互式培訓(xùn)，無論是培訓(xùn)模塊本身還是圍繞意識培訓(xùn)的部分。競賽、排行榜和小額獎勵對提高參與度大有幫助。
• 語言：在決定培訓(xùn)材料之前，請考慮組織成員使用哪些語言。跨國公司可能會通過每種語言提供的材料獲得更好的服務(wù)，而不是選擇不同語言的不同材料。

另外，不要忘記基礎(chǔ)知識。雖然安全意識計(jì)劃的某些部分可能涵蓋不同的主題，但有一些意識主題需要對所有員工進(jìn)行培訓(xùn)。我們將其稱為 NIST 核心行為，其中包括密碼安全、網(wǎng)絡(luò)釣魚攻擊、移動安全和社會工程等主題。

雖然您的安全意識計(jì)劃可能有明確的路徑，但有時(shí)您會遇到組織中其他人的一些阻力。存在多種原因，但從共同目標(biāo)（步驟 1）開始是獲得初始部署支持的最有效方法之一。如果上級認(rèn)為你的安全意識培訓(xùn)計(jì)劃花費(fèi)了太多時(shí)間或金錢，請使用真實(shí)數(shù)據(jù)來證明你的理由。例如，客戶報(bào)告稱，使用安全意識平臺后，網(wǎng)絡(luò)釣魚報(bào)告時(shí)間縮短了75%。這樣的改進(jìn)會對您的安全工作產(chǎn)生什么影響？

如果他們似乎不重視整個(gè)組織范圍內(nèi)的網(wǎng)絡(luò)安全工作，請解釋對公司聲譽(yù)的潛在損害如何可能在整個(gè)組織內(nèi)引起連鎖反應(yīng)。例如，IBM 數(shù)據(jù)泄露成本報(bào)告量化了數(shù)據(jù)泄露的 27 個(gè)不同成本因素，以幫助全面了解風(fēng)險(xiǎn)。

最后，請務(wù)必解釋您對組織安全文化的愿景以及您的目標(biāo)如何與更大的業(yè)務(wù)目標(biāo)保持一致。

現(xiàn)在您已經(jīng)制定了經(jīng)批準(zhǔn)的安全意識培訓(xùn)計(jì)劃，您必須與組織的人力資源經(jīng)理或總監(jiān)密切合作才能有效實(shí)施該計(jì)劃。他們可以幫助確保您的計(jì)劃成為所有員工的強(qiáng)制性計(jì)劃，而不僅僅是建議的活動。所有利益相關(guān)者也應(yīng)全面了解該計(jì)劃。清楚地闡明該計(jì)劃的目標(biāo)、節(jié)奏和全年將采取的步驟。這可以幫助您確保所有程序部分一致且清晰。

我們建議每月（或每季度，如果需要）進(jìn)行培訓(xùn)更新、定期溝通安全意識培訓(xùn)最佳實(shí)踐（提供海報(bào)、電子郵件和其他資源以幫助強(qiáng)化每月的培訓(xùn)）以及新的突出威脅的更新。您還可以定期使用模擬網(wǎng)絡(luò)釣魚攻擊來讓您的同事保持敏銳。

在不同部門尋找安全冠軍是另一個(gè)有效的策略。并不是每個(gè)人都會立即接受另一個(gè)培訓(xùn)計(jì)劃。幫助將培訓(xùn)放在首位，并充當(dāng)網(wǎng)絡(luò)安全問題的關(guān)鍵人物?？梢杂行У貙⒛陌踩庾R計(jì)劃從培訓(xùn)轉(zhuǎn)變?yōu)檎嬲奈幕D(zhuǎn)變。

跟蹤關(guān)鍵指標(biāo)（從第 1 步開始）對于確定計(jì)劃是否成功以及決定何時(shí)進(jìn)行更新或更改至關(guān)重要。為那些想要快速啟動的人 提供經(jīng)過驗(yàn)證的統(tǒng)包安全意識活動，但每個(gè)人都應(yīng)該留出一些時(shí)間來定期評估您的計(jì)劃，并確保它能夠幫助您實(shí)現(xiàn)安全意識目標(biāo)。

與其他安全意識計(jì)劃管理員建立聯(lián)系是提升培訓(xùn)計(jì)劃水平的另一種好方法。不要試圖重新發(fā)明輪子。通過網(wǎng)絡(luò)研討會或通過您的 CSM 與 Infosec 社區(qū)中的其他人聯(lián)系，并利用他們的成果來添加到您的計(jì)劃中。