小企业正在逐步利用业务流程中的信息技术，但这个过程并没有安全地进行。实际上，当有其他几个大的、有利可图的组织攻击他们时，他们并不相信对手将会针对他们进行攻击。因此，他们忽视了安全意识培训等重要措施，这使得他们被网络罪犯牢牢掌控着。

在许多方面，小公司比大公司承担的风险更大，因为不利的事件对他们来说可能是非常昂贵的。根据美国网络安全联盟的统计，60％的小企业在网络安全漏洞发生后的六个月内都无法维持他们的业务。对手通过攻击他们来窃取客户身份、银行记录甚至是知识产权等信息。

常见的导致数据丢失和安全漏洞的事件包括：员工在多个网站上重用凭据、下载通过电子邮件发送的恶意附件、社交网络的使用、使用机密数据丢失的设备、以及无意中通过电话提供敏感信息。所以必须从根本上加强对安全意识培训的关注，以防止这种事件发生。

为什么小企业需要安全意识培训?

小企业面临着严峻的挑战。业主通常发现他们没有足够的财务来投资于强大的安全系统。资源是有限的，并且他们的IT部门规模与大型组织的规模并不相同。幸运的是，建立一种安全意识文化在他们的范围之内。

对小型企业来说，安全意识培训是防止各种非技术和技术入侵的必要条件。通过确保人员从上到下地进行安全管理，小公司可以保持他们最有价值的资产的机密性。同时，安全意识也确保了以下几点:

法规符合性：如萨班斯 - 奥克斯利法案和PCI规则都知道，人类是信息安全中最薄弱的环节。安全意识培训确保人们完全遵守这些规定。

客户信任:消费者对公司关于其数据安全性的承诺表示怀疑。数据泄露的标题频繁出现，这些使消费者都不堪重负。安全意识培训激励员工PII尽一切可能来保护客户的个人身份信息。

成本降低：卡巴斯基实验室的调查显示，小型企业平均需要花费38,000美元从数据泄露中恢复，如果考虑到声誉损失和间接成本，则成本更高。安全意识培训确保公司准备好防止这种情况发生;把它看作是一种投资，可以节省大量的开支。

很明显，为了保护自己的资产和声誉，主动让员工安全意识是小公司能做的最好的事情之一。

小企业面临什么样的风险/威胁?

小型企业吸引着网络犯罪分子，因为他们缺乏大型组织可以实施的安全级别来减少威胁。以下是他们面临的安全挑战:

矛诈骗：对手使用BEC（商业电子邮件妥协）等技术，并采取欺骗手段传送伪造的电子邮件。利用信任的供应商、业务顾问或金融机构的身份来创造合法性。过去几年里，针对小公司的钓鱼网络钓鱼攻击事件大幅增加。

Ransomware：这是在业务系统上安装病毒时，授权用户是完全锁定的。当数据被对手加密后，数据就变得不可访问了，在此之后，现金被要求重新获得访问权。Ransomware通常是通过下载和附件传递的。根据被阻塞的数据/系统对公司的重要性，攻击可能会使操作瘫痪。

基于BYOD的渗透：随着越来越多的小型企业采用BYOD，其应用下载的风险暴露软件和来自未加密网络连接的木马软件增加。这种情况通常发生在公司人员使用他们的个人设备通过公共WiFi访问商业信息、通过第三方应用共享数据或忽视更改账户密码的时候。

无知/恶意的员工:这是小企业面临的大多数安全威胁的根本原因。对员工的无知或恶意的态度会使你的计划、业务信息、支付细节、客户信息等容易受到攻击。典型的无知或恶意行为包括访问非法/不安全的网站，访问未经授权的来源的应用程序，以及使用弱密码。

要进行安全意识培训至关重要，以减少这些威胁的风险。

一个小公司如何建立一个安全意识项目?

一个安全意识项目至关重要，它可以停止将安全作为一种一次性的实现来应对威胁，并建立一个普遍的、积极主动的安全文化，在这种文化中，人员可以发现风险并作出适当的决定。以下是小企业如何创建一个安全意识培训项目，让每个人都参与进来。

1.     分配角色，让人们承担责任

基于角色的安全意识培训是业务的一个横截面。培训应与不同的角色和责任保持一致。例如，管理者应该理解安全需求，并承担起鼓励员工意识的责任。另一方面，员工应该在保护公司数据和隐私方面扮演重要角色。员工层面的安全意识培训可能涉及到身份窃取和可疑信息的发现。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)