信息安全的最大威胁实际上来自于组织内部,由于员工缺乏信息安全知识或培训。事实证明,攻击是影响这些组织的最危险的威胁。不满意的员工或公司间谍并不总是威胁,但未经训练的员工才会对组织造成破坏。2012年,数据泄露的平均成本为550万美元。如何处理资讯保安的问题?对于这个问题我们能做些什么呢?
组织必须把重点放在人员和技术上,以最大限度地减少损失,并且必须认识到数据丢失的威胁是真实的、危险的和重大的。组织应该开始意识到安全培训的必要性。根据McAfee在2005年进行的一项研究,某组织的员工透露了以下数据:
62%的人承认他们对IT安全的知识非常有限
21%——让家人和朋友使用公司的笔记本电脑和个人电脑上网
51%——把自己的设备连接到工作电脑上
4)十分之一的人承认曾下载过他们工作时不应该下载的内容
51% -不知道如何更新杀毒软件
6) 5% -说他们访问了他们的IT系统的区域
培训方法类型
确保员工不会在信息安全方面犯下任何代价高昂的错误的最好方法之一是提供信息安全培训。以下是五种可用于提高员工信息安全意识的培训方法。
1.基于网络的培训
有些公司提供现场和网络培训,并利用模拟游戏等多种方法,因为互动是双向的。其他公司提供视频、网络培训和现场培训等。
2.课堂培训
使用教室进行安全意识培训是有益的,因为人们可以随时回答问题。也可以有一个培训项目的问答期。
3.安全意识的网站
这些网站包括需要覆盖的区域,如组织的安全政策、文件共享和版权桌面安全、无线网络和密码安全。
4.有用的提示
有用的提示可以是在用户登录时推送到用户屏幕上的提示和提醒。比如“不要将密码保存在除你之外的任何人都能看到的地方”。如更改密码或运行病毒扫描等提醒。
5.视觉教具
一个这样的例子是创建一个引人注目的密码安全海报,有人说要经常更改,有人说不要把密码到处乱放,还有人说不要与朋友分享。
这些培训方法可以帮助员工更好地理解公司的安全政策和程序。
源: KnowBe4
