所有员工都需要安全培训,但通常人们都对此避而不谈。多年来的各种研究表明,人们普遍认为人为错误是组织中最大的弱点。
对于 SaaS 提供商等技术公司来说,他们还需要确保其开发人员和工程师在安全方面处于领先地位,而将威胁通过软件供应链传递给客户则会带来进一步的风险。技术和非技术同事都必须发挥自己的作用——而这只能通过终身学习来实现。
科技公司必须高度重视员工教育、培训和最佳实践。交付的每个环节都必须尽量降低对业务、员工、客户以及客户的客户的风险。技术和非技术人员必须接受符合质量标准的培训,其中最广泛适用的是 SOC 2 和ISO 27001。此外,还有各种与特定行业和员工角色相关的数据安全、隐私和财务处理法规。
安全培训一直是科技公司面临的真正挑战。产品创新者争先恐后地进入市场,并且有“快速行动,打破常规”的动力。规模扩大后,其他业务、技术和人员挑战也随之而来,安全必须与许多其他紧急和重要的优先事项竞争。当许多公司认真对待这个问题时——即使他们确实这样做了——它也不会引起大多数员工的注意。是时候改变这种状况了。
更加重视安全意味着致力于培训
每个人都声称自己非常重视安全,但如果首席信息安全官和部门负责人没有定期、频繁地(这是关键部分)更新、测试甚至部署针对所有员工的红队战术,那么他们就对自己不完全诚实。
如果没有频繁的复习培训和培养并支持安全意识的员工文化,企业将面临巨大风险。安全环境的建立与破坏取决于人,他们很容易犯错、忘记或上当受骗。
现在,人工智能和机器学习被用于创造更逼真、更有针对性的诱饵,降低这种风险的唯一方法就是不断进行训练和持续提高意识。
让训练持久的关键秘诀
教授为什么,而不仅仅是什么
这对于任何类型的培训都至关重要。要求合规性会使强制程序看起来像是一种强加,所有安全都是要避免的障碍。解释安全漏洞和常见陷阱,以便用户意识到警惕的重要性。解释对企业和每个用户(无论是在他们的职业、个人和家庭生活中)的影响。
不要回避技术细节
技术团队将希望了解任何影响其执行能力的限制。
如果安全解决方案或步骤可能会影响交付,则必须考虑到这一点,并向风险和事件管理方面的高层领导进行适当解释。这些高层领导必须做好安全减慢进度的准备,并为此提供支持——如果这是自上而下的安全方法的一部分,那么安全意识至关重要。
如果培训以演习和活动为后盾,将非技术人员置于威胁的中心,并提供有关突破时间的统计数据、估计补救成本以及发生损失时对他们和员工安全的业务影响,那么非技术人员将更好地理解存在的规模和危险。相关细节强调了演习的重要性。
做人,做真实的自己
涵盖主要风险领域——社会工程、密码、物理安全、数据处理和合规性等——但不要忘记人性。
技术人员和业务线人员都必须了解业务和自身角色的主要风险领域。考虑人与人之间互动的文化。确保人们在将培训带回现实世界时能够安全地进行检查或承认错误。
让每个人都能使用
安全培训必须面向技术熟练且具备安全素养的人员,以保持他们的新鲜感和谦逊感。它也不能让技术素养较低的人感到不知所措或失去兴趣。
值得根据受众的角色和资历量身定制信息,并一起培训同龄人群体。如果初级员工因为被坐在他们旁边的经理吓到而不要求澄清,那将没有任何好处。
让专家根据群体需求设计培训有助于避免人们走神。无论承认与否,每个人都喜欢精彩的恐怖故事;利用引人入胜的故事培训来激发用户分享和讨论的欲望。
有趣且令人难忘
运用故事讲述者的所有最佳实践,让书面内容生动活泼,让口头部分引人入胜。出色的安全培训并不乏味——它很重要,值得产生影响。
请记住:间隔和多样化的重复是长期巩固学习的关键。首席信息安全官必须冒着不受欢迎的风险,坚持进行频繁、定期的培训和复习。定期培训——标准的年度复习培训——已经不够了;必须提供频繁的计划和突击培训。部署红队和突击演习可以真正提高员工的水平。无论结果如何,都要确保一种学习而不是责备的文化,并激励适当程度的透明度、探究和诚实。
为工程师提供创建安全设计的工具
您的技术和产品团队需要更多的安全培训,以将最佳实践嵌入到CI/CD工作流程中并确保解决方案不易受到已知风险的影响。
投资工具和培训,为技术人员提供框架和模型,使安全性成为创造优秀产品时简单易行的步骤。在开发阶段避免漏洞或未来违规更便宜。通过指出由于安全性不佳而导致问题的产品来抵御成本削减压力,并提供一个案例来表明安全产品可以确保盈利能力。
克服所有挑战并取得成功
总而言之,安全意识培训至关重要,而且必须是一个实时、不断发展的过程。
内容、风格和表达方式应像婚礼致辞和投资者演讲一样谨慎和重视。风格永远不应凌驾于内容之上,但如果要使意识培训有效,风格应紧随其后。
为了创造更安全的结果,公司必须提高他们的安全培训水平,否则我们的整个数字世界将会变得越来越糟,一个产品、一个系统,一天天地变得更糟。
— 欢迎关注
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...