トピック概要
员工是组织攻击方面的一部分,掌握保护组织和组织免受威胁的技巧是健康安全计划的重要组成部分。。 如FISMA、PCI、HIPAA、Sarbanes-Oxley等,需要遵守政府和行业的各种法规,为员工提供提高安全意识的培训以满足法规要求。。
根据组织可利用的内部安全资源和专业知识,委托第三方进行安全意识培训可能是合理的。。无论是否使用外部支持,组织领导者都必须了解并参与建立安全意识培训计划,并在整个过程中提供反馈。。
每个组织都有适合不同文化的训练方式。。有以下几种选择:。
在某些情况下,将上述几种组合起来可能是最合适的选择。。提高安全意识的训练并不是一次性的。。通过多种媒体进行定期的安全培训是最理想的,尤其是在离职率高的情况下。。
在确定目标时,我们还需要考虑组织的威胁特征。。这些话题可能包括:。
建立一个测试训练效果的过程是非常重要的。。一个方法是设置问题。。为了测试训练前的水平,我们需要在展开前进行设问。。你还需要确认训练后你的哪些部位发生了变化。如果钓鱼演习是定期进行的,那么我们需要追踪员工在接受安全防范培训后的反应是否有所改善(或恶化)。。
虽然这可能不是科学的方法,但随着时间的推移,员工的增加,资产的增加,对安全事故的发生次数和种类,有什么样的倾向进行调整,从而进行跟踪。我们可以在一定程度上判断工具的影响。。另外,为了判断行为的变化,在训练前后要查看公开的密码、被解锁的电脑、潜在的物理安全风险,是否可以巡视办公室进行实际确认?也许吧。
安全可能是安全团队的首要任务,但其他团队有不同的目标。。因此,我们需要竭尽全力来有效地利用时间。。理想的情况是,应该根据员工的职责来定制培训,使培训内容与每个参与者的工作相关。。这样员工就能专注于重要的事情,尽快回到工作岗位上。。它还能让组织中的高风险用户(例如域管理员)得到最佳培训,以应对与自己工作相关的风险和威胁。。
当你和员工一起确认策略和最佳实践的时候,你需要经常解释为什么每个策略都很重要。。只有完全理解政策的前后关系,并认为它是正确的,用户才会有更高的概率遵守政策。。例如,如果你知道一个被巧妙伪装的勒索软件可以瞬间加密工作站上的所有文件,你就能很好地理解从互联网上安装随机软件的风险。很容易吧。最后,要注意不要对员工指名道姓地大吼大叫,不要让跟不上训练节奏的员工觉得你很傲慢。。倒不如说,团队领导应该集中精力创造一个让所有人都能愉快提问、报告突发事件的环境。。
当培训结束时,用户需要很好地理解如何保护组织不受风险的伤害,并且愿意与其他团队合作,积极地创建一个更安全的环境。。理解组织的需求和文化是成功培训的关键。。