在今天的(ISC)2安全伦敦活动上,比利时金融科技公司 Isabel Group 的数据保护官员 Laurie-Anne Bourdain 发表了一个关于计划和交付一个成功的网络安全意识项目的演讲。
Bourdain 建议,创建一个路线图是开发一个良好的意识项目必不可少的第一步。路线图需要了解组织的威胁状况,包括对您的漏洞、威胁参与者是谁以及您所面临的威胁载体的了解。“这些知识将帮助你根据自己的风险考虑自己的优先事项。由于预算和时间的限制,你需要评估和优先考虑你的风险,但是你也需要根据你自己的风险偏好来调整你的风险偏好——考虑你能承受多大的风险,”她建议道。
波登继续说道,路线图的下一步是“确定你希望你的目标学习什么。然后,你需要解决你所拥有的资源。想想你的沟通渠道。”例如,印刷海报仍然是一种有效的沟通方式,她说。
“你的路线图中最可怕的部分就是交付它,”Bourdain 说,“因为你可能会失败。”她认为自己很幸运,能够把五分之一的时间花在提高认识和培训上,“但我还是希望能够更多,”她说。
发展意识项目就是填补空白,她说。“这包括知识差距、技能差距和动机差距。”她认为后者是最大的挑战。“当人们知道如何做某件事,但又不想做,也不在乎时,这很困难。你需要解释为什么这对他们个人很重要,并用激励或奖励来支持动机——这将帮助他们继续自己的行为。”
波登指出的最后一个差距是不可否认的沟通差距。她建议: “ IT 不是组织中大多数人的主要语言,所以要小心,不要使用技术或法律语言。”。“使用组织中每个成员都能轻松理解的语言,并适应不同的学习者。”设身处地地为公司的新手着想,可以帮助你正确地推销自己的语言和沟通,她说。“试着回忆一下什么都不知道的感觉。不要假设知识。”
她强调了积极强化的重要性,指出这种强化可以采取表彰和奖励的形式,并且不一定是财政性的。“其他的技巧还包括游戏化,玩弄别人的情绪,以及利用瞬间的力量,”她说,并举了 Log4j 危机期间提高认识的例子。“利用社会参与。越多的人明显地在做一些事情,其他人就会越觉得被鼓励去做同样的事情,”她补充说。
然而,她最有力的建议是重复。“意识需要重复,即使它会适得其反。是的,你去年已经告诉他们了,但是这件事已经被遗忘了,所以再告诉他们一次。”
最后,Bourdain 指出了一个成功的网络安全意识项目的三个要素:
管理支持: “要创建可见性,您需要管理支持。让他们明白这样做对他们有什么好处,并获得他们的支持。”
提供指标: “提供好的指标。关于有多少人按时完成培训的数据是一个糟糕的衡量标准。不过,与去年相比,上报网络钓鱼的人数是一个很好的衡量标准。”
报告回来: “告诉管理层为什么你的意识计划正在起作用,并告诉他们为什么你需要更多的预算和更多的时间为明年做准备。”