作者:Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca
員工正迅速成為防禦網絡罪犯的最薄弱的一環。不論是無心之失,或因其讀取敏感資料的權限被針對攻擊,員工的人為錯誤可以輕鬆打開迎接惡意軟件或資訊盜竊的大門。
網絡攻擊之所以成功,往往涉及不當的工作流程和對人性的利用。要減低企業被威脅的可能性,定期員工培訓需著重「預防」多於「治療」。對企業來說,純粹以規程為導向的網絡安全培訓方法已證實無效,通常是因缺乏趣味或切身感而未能引發員工的想像力。企業應側重於教育員工如何保護個人資料,從而鼓勵他們於工作間進一步實踐維護網絡安全的措施。
在眾多員工培訓的形式中,日漸流行將網絡安全教育計畫遊戲化(Gamification)。「遊戲化」即在非遊戲環境中使用遊戲機制,將遊戲激發的刺激感應用到其他不甚有趣的活動。遊戲化的計畫加入競爭和獎勵元素,適用於不同行業,因而變得流行。僱主可以兩種方法將其網絡安全培訓遊戲化:
一) 令培訓變得更刺激吸引
遊戲化可透過多種方式幫助企業提高網絡安全,包括向員工展示網絡攻擊預防方法和了解軟件安全漏洞。國際顧問公司羅兵咸永道(PwC)透過威脅遊戲(Game of Threats)教授網絡安全。管理層玩家各自扮演攻擊或防守的角色,在現實的網絡安全環境下競爭。攻擊者選擇攻擊策略、方法和技能,而防守者則制定防禦戰略,投入適當的技術和人才來應對。此遊戲讓他們了解如何準備和應對網絡威脅、公司的防禦能力以及網絡安全團隊每天面對的情況。
遊戲化有助令員工培訓變得生動有趣,提高員工對網絡安全實踐的意識,包括如何正確處理攻擊。
二) 以獎賞鼓勵良好操守
大多數安全漏洞歸咎於人為錯誤,例如面對限期壓力的員工可能會忽視公司的安全政策。舉例來說, PhishMe 是培訓員工有關電子郵件安全的好方法,活動包括定期向整個企業發送釣魚郵件來測試員工的反應和行動。
遊戲化讓企業獎勵遵守正確安全指引的員工,進一步鼓勵良好的操守。僱主可給予僱員獎章或積分,紀錄以便員工參考。有些企業會向達標的員工送贈禮券之類的實際獎勵,以作加許。遊戲化系統還可識別表現不佳的員工,以便為他們安排進一步的網絡安全培訓。認同和獎勵能激勵員工維持良好的操守,提升工作環境的網絡安全水平。
任何安全意識培訓的核心都在於培養員工的責任感,一份對他們無論在公司或家中所創建、處理和使用的數據的責任感。所有推廣安全意識的活動都應該持續推行,要達到目標也並不必大撒金錢。例如:
善用影像:可以從短片、海報或比賽入手,提醒大家確保網絡安全是每個人的責任。
避免威嚇手段:企業應致力建立網絡安全意識文化,就像舉辦營銷活動那樣說服和改變員工的行為。
短而精是為上策:好像人們會忽略累贅的電郵一樣,培訓必須保持簡短而有趣,並確保是採用從上而下(top-down)的策略。若領袖都不以身作則,跟隨他們的員工又怎麼會做呢?此舉在於教育員工重視及採用網絡安全的最佳措施,而非要訓練所他們成為專家,所以保持輕鬆愉快的氣氛更有效協助大家學習。
加強和跟進十分關鍵
培訓必須持之以恆,從有效的措施中學習並按需要重新教育員工。測試新入職及現職的員工會否誤墮欺騙郵件的圈套,查看多少員工仍然無法識別虛假電郵。鼓勵內部溝通,舉報虛假電郵,指出可能滯後的部門。這些行為目的不在於針對個別人士,而是為整個企業建立良性競爭。
消滅任何行業的網絡風險都是一個漫長的過程,但絕對可以掌控情勢。只要建構讓員工提出問題,按需要重新教育的氛圍。如果員工受訓後能在點擊惡意檔案前提出質疑,那麼你便向網絡安全邁進一步。
© 2020 Plug Media Services Limited. All Rights Reserved. [n1]