小企业正在逐步利用业务流程中的信息技术,但这个过程并没有安全地进行。实际上,当有其他几个大的、有利可图的组织攻击他们时,他们并不相信对手将会针对他们进行攻击。因此,他们忽视了安全意识培训等重要措施,这使得他们被网络罪犯牢牢掌控着。
在许多方面,小公司比大公司承担的风险更大,因为不利的事件对他们来说可能是非常昂贵的。根据美国网络安全联盟的统计,60%的小企业在网络安全漏洞发生后的六个月内都无法维持他们的业务。对手通过攻击他们来窃取客户身份、银行记录甚至是知识产权等信息。
常见的导致数据丢失和安全漏洞的事件包括:员工在多个网站上重用凭据、下载通过电子邮件发送的恶意附件、社交网络的使用、使用机密数据丢失的设备、以及无意中通过电话提供敏感信息。所以必须从根本上加强对安全意识培训的关注,以防止这种事件发生。
为什么小企业需要安全意识培训?
小企业面临着严峻的挑战。业主通常发现他们没有足够的财务来投资于强大的安全系统。资源是有限的,并且他们的IT部门规模与大型组织的规模并不相同。幸运的是,建立一种安全意识文化在他们的范围之内。
对小型企业来说,安全意识培训是防止各种非技术和技术入侵的必要条件。通过确保人员从上到下地进行安全管理,小公司可以保持他们最有价值的资产的机密性。同时,安全意识也确保了以下几点:
法规符合性:如萨班斯 - 奥克斯利法案和PCI规则都知道,人类是信息安全中最薄弱的环节。安全意识培训确保人们完全遵守这些规定。
客户信任:消费者对公司关于其数据安全性的承诺表示怀疑。数据泄露的标题频繁出现,这些使消费者都不堪重负。安全意识培训激励员工PII尽一切可能来保护客户的个人身份信息。
成本降低:卡巴斯基实验室的调查显示,小型企业平均需要花费38,000美元从数据泄露中恢复,如果考虑到声誉损失和间接成本,则成本更高。安全意识培训确保公司准备好防止这种情况发生;把它看作是一种投资,可以节省大量的开支。
很明显,为了保护自己的资产和声誉,主动让员工安全意识是小公司能做的最好的事情之一。
小企业面临什么样的风险/威胁?
小型企业吸引着网络犯罪分子,因为他们缺乏大型组织可以实施的安全级别来减少威胁。以下是他们面临的安全挑战:
矛诈骗:对手使用BEC(商业电子邮件妥协)等技术,并采取欺骗手段传送伪造的电子邮件。利用信任的供应商、业务顾问或金融机构的身份来创造合法性。过去几年里,针对小公司的钓鱼网络钓鱼攻击事件大幅增加。
Ransomware:这是在业务系统上安装病毒时,授权用户是完全锁定的。当数据被对手加密后,数据就变得不可访问了,在此之后,现金被要求重新获得访问权。Ransomware通常是通过下载和附件传递的。根据被阻塞的数据/系统对公司的重要性,攻击可能会使操作瘫痪。
基于BYOD的渗透:随着越来越多的小型企业采用BYOD,其应用下载的风险暴露软件和来自未加密网络连接的木马软件增加。这种情况通常发生在公司人员使用他们的个人设备通过公共WiFi访问商业信息、通过第三方应用共享数据或忽视更改账户密码的时候。
无知/恶意的员工:这是小企业面临的大多数安全威胁的根本原因。对员工的无知或恶意的态度会使你的计划、业务信息、支付细节、客户信息等容易受到攻击。典型的无知或恶意行为包括访问非法/不安全的网站,访问未经授权的来源的应用程序,以及使用弱密码。
要进行安全意识培训至关重要,以减少这些威胁的风险。
一个小公司如何建立一个安全意识项目?
一个安全意识项目至关重要,它可以停止将安全作为一种一次性的实现来应对威胁,并建立一个普遍的、积极主动的安全文化,在这种文化中,人员可以发现风险并作出适当的决定。以下是小企业如何创建一个安全意识培训项目,让每个人都参与进来。
1. 分配角色,让人们承担责任
基于角色的安全意识培训是业务的一个横截面。培训应与不同的角色和责任保持一致。例如,管理者应该理解安全需求,并承担起鼓励员工意识的责任。另一方面,员工应该在保护公司数据和隐私方面扮演重要角色。员工层面的安全意识培训可能涉及到身份窃取和可疑信息的发现。
2. 在可能的情况下个性化
传递安全意识的最好方式是将它以一种个性化的方式灌输到公司的文化中。与您的IT部门合作,将安全术语翻译成简单的指导方针,方便每个人都可以轻松遵循。你还可以做的另一件事就是通过真实的生活实例来教员工安全风险。如果您担心密码操作的薄弱,请与现实世界建立联系,以帮助员工与良好的密码练习培训之间产生共鸣。例如,强大的密码保护机密信息,就像强大的免疫系统保护人体免受疾病的影响一样。
3. 提醒安全行为
安全意识培训的核心本质是不断提升安全行为。使用Slack和Google Hangouts这样的通信工具来频繁地交流安全行为。例如,你可以在Slack上标出连接无安全WiFi网络的危险。或者用简单的日历提醒在需要的时候提供安全通知。
4. 建立用于访问安全意识培训的度量标准
需要制定度量标准来衡量一个安全意识培训项目的成功。不同类型和水平的培训将会有所不同。例如,减少系统宕机和减少电子邮件诈骗将意味着员工更好地认识了安全威胁,并提高了对社交网络钓鱼的认识。可以利用性能评估和行为跟踪来了解安全意识程序是否成功设置。
建立一个成熟的安全意识程序将减少对手获得小公司未经授权的访问和窃取商业信息的风险。
小型企业的安全意识资源
每个小企业都是不同的,并且没有特定的方式来建立一个安全意识程序。但是,下面的参考资料中包含了一些有用的提示和指标,这些提示和指标将给您一个清晰的思路。
PCI安全标准委员会:该资源为小型企业提供了保护支付卡数据的意识,这是小商户所依赖的交易。该资源为小商家提供了各种各样的指南。
NCSA(国家网络安全联盟):NCSA提供一个资源,帮助保护您的业务免受网络攻击,隐私违规和其他威胁。
Barry Horne培训:BH培训为小型企业提供了一种特殊的安全意识课程。学生们学习如何保护最有价值的商业数据,使小型企业免受所面临的共同安全威胁。课程是用非技术语言设计的。
最后的想法
在未来10年,随着安全意识培训部门的增长将超过100亿美元,现在是小企业将安全意识培训作为其威胁防御战略的基本组成部分的时候了。上面提到的指导方针和资源为保护机密信息的措施提供了方向,使你能够避开那些看起来容易成为攻击目标的敌人。
原文链接:
http://resources.infosecinstitute.com/security-awareness-training-can-protect-small-businesses/
本文由看雪翻译小组 敲代码的猫 编译
[课程]FART 脱壳王!加量不加价!FART作者讲授!
