企業(yè)員工安全意識培訓正蓬勃發(fā)展

各公司陸續(xù)制定安全意識培訓計劃日期：2011-3-18

作者：RobertWestervelt

翻譯：Sean

來源：TechTarget中國

我要評論英文\o"大號字體"大

|

\o"中號字體"中

|

\o"小號字體"小投稿

\o"打印本文章"打印關鍵詞：安全意識培訓

數(shù)據(jù)安全漏洞

企業(yè)安全

【TechTarget中國原創(chuàng)】越來越多的公司開始對用戶進行安全意識培訓，從而提高軟件質(zhì)量，降低終端雇員的錯誤率。加速這種趨勢的原因是，許多企業(yè)都要求雇傭的軟件公司能夠遵守更嚴格的安全標準。此外，越來越多的企業(yè)意識到，雇員的錯誤可能導致高額的罰款，甚至導致數(shù)據(jù)安全漏洞。波士頓一家衛(wèi)生保健公司發(fā)現(xiàn)自身有多處違反HIPAA標準的地方。幾天后，公司的高管決定投資為雇員進行加強安全意識的培訓。與此同時，一家明尼蘇達州銷售生產(chǎn)率軟件（productivitysoftware）的公司為其眾多的軟件開發(fā)人員進行了安全培訓。這兩家公司都是受外部因素的影響開始進行培訓項目：審計失敗，且用戶的需求在增長。據(jù)專家和分析師分析，安全意識培訓將會越來越普遍。Safelight安全顧問公司的創(chuàng)始人兼CEORobCheyne說，失敗的審計、數(shù)據(jù)漏洞以及其他對知識產(chǎn)權和敏感數(shù)據(jù)產(chǎn)生危險的因素令企業(yè)不得不加強員工的安全意識?！澳悴豢赡芤揽考夹g解決所有的安全問題，”Cheyne說，“主動進行安全教育，可以使員工意識到他們在保護公司安全的過程中扮演著極其重要的角色?！盨afelight公司在上月舉行的2011RSA會議上推出了他們的安全教育藍圖（SecurityEducationBlueprint），幫助企業(yè)在內(nèi)部評估不同小組的風險狀況，滿足對雇員進行必要的安全教育的需要，Cheyne解釋道。盡管Cheyne提供的培訓計劃能服務于最終用戶和IT企業(yè)，但他說他最大的樂趣還是在于教授軟件開發(fā)者安全編程的基本知識?！澳銓卸啻位腥淮笪虻母杏X——‘啊，原來是這樣’，”Cheyne說。他表示，很多時候，一個公司的最大弱點不是最終用戶，而是經(jīng)理和業(yè)務主管，他們是最需要接受安全培訓的人?！捌髽I(yè)需要的安全培訓方式是，培訓（方式）能令員工和業(yè)務過程與其他員工或業(yè)務產(chǎn)生互動，”Cheyne說道，“企業(yè)里面的每一個人都有相應的職責。”MichaelKaiser是非營利性組織國家網(wǎng)絡安全聯(lián)盟（NationalCyberSecurityAlliance）的執(zhí)行主席，該組織每年都會舉辦網(wǎng)絡安全意識宣傳月活動。他說，人們的安全意識在不斷提高；技術在保護珍貴資產(chǎn)方面的作用是有限的。該組織發(fā)起了主題為“停下，思考，連接”的活動，主要面向消費者，但是國土安全部也利用這一活動宣傳聯(lián)邦級別的安全?！拔覀兇_實正在合作，以期我們的主題思想能夠被廣泛接受，”Kaiser表示，“這需要時間，但有希望的是，隨著時間的推移，企業(yè)、非盈利組織、政府機構(gòu)及其他組織都會使用這個思想。它將成為公眾意識的一部分?！卑踩浖l(fā)展的進步為安全業(yè)帶來了希望，GaryMcGraw這樣說道。他是來自華盛頓特區(qū)的軟件安全咨詢公司Cigital的首席技術官。McGraw說，大型企業(yè)更愿意公開分享他們的安全軟件開發(fā)進展，這樣小型公司能夠利用這些資源。他負責了BuildingSecurityInMaturityModel（建立安全成熟度模型）項目的研究工作，該研究由進40家大型企業(yè)倡議進行。McGrwa和SammyMigues，是Cigital培訓和教育部門的主管，BrianChess則來自加利福尼亞州圣馬特奧市的軟件安全保險供應商Fortify軟件公司。他們進行了大量的采訪，找出了長期有效的安全工作流程?！拔覀冊L談的所有公司都在軟件安全過程的客觀測量方面進步明顯，”McGraw說，“你可能會樂于見到企業(yè)行動起來并承擔責任。我認為以后我們會看到更多（進步）?！?/p>

企業(yè)員工安全意識培訓正蓬勃發(fā)展日期：2014-11-12

作者：BrandanBlevins

翻譯：鄒錚

來源：TechTarget中國

我要評論英文\o"大號字體"大

|

\o"中號字體"中

|

\o"小號字體"小投稿

\o"打印本文章"打印關鍵詞：企業(yè)員工安全意識

安全行業(yè)培訓

Gartner

安全意識

【TechTarget中國原創(chuàng)】企業(yè)員工安全意識培訓一直被認為是合規(guī)性的可選活動，但并不一定是保護企業(yè)資產(chǎn)的有效策略。然而，在充滿質(zhì)量安全意識培訓產(chǎn)品的競爭激烈的市場，一位專家稱，企業(yè)安全管理人員應該重新思考他們對用戶意識培訓的看法。研究公司Gartner這個月發(fā)布了第一個安全意識培訓供應商魔力象限，該報告分析了來自19個最大安全意識培訓供應商的產(chǎn)品。重量級供應商WombatSecurityTechnologies、FishNetSecurity和SANSInstitute都榜上有名，還有令人驚訝的大批初創(chuàng)培訓機構(gòu)?？偠灾?，該Gartner報告中的供應商的總體年收入約為6.5億美元。該報告作者同時也是Gartner研究副總裁AndrewWalls表示，在這個Gartner研究中不能看到的是，成千上萬的利基培訓供應商，這些供應商在適當?shù)那闆r下可以像大型供應商一樣提供有用的產(chǎn)品。例如，如果一家小型培訓供應商旨在美國辛辛那提地區(qū)運營，并且其客戶好評如潮，辛辛那提的企業(yè)應該考慮這家本地供應商是否滿足其企業(yè)的需求。Walls表示，“他們沒有在俄亥俄州之外提供培訓服務其實并不重要。”他指出，世界各地有很多這樣的供應商，他們僅在一個地區(qū)提供培訓服務，例如北京或者倫敦，或者有的供應商近提供特定語言的安全意識培訓，這在印度這樣的國家就很普遍。當同時考慮這些大型和小型供應商時，其結(jié)果是，這個培訓市場的年收入已經(jīng)超過10億美元，并且根據(jù)有限的市場數(shù)據(jù)，這個市場每年大約增長13%。安全意識培訓拐角Walls承認，盡管長期以來很多企業(yè)認為員工意識培訓根本沒有作用，但安全意識培訓市場正在蓬勃發(fā)展。他表示，這種態(tài)度在很大程度上是源于企業(yè)過去的錯誤，企業(yè)通常利用內(nèi)部安全團隊來制定安全培訓計劃。雖然來自內(nèi)部安全專家的意見對于高質(zhì)量培訓很重要，但Walls稱，這種DIY培訓課程往往沒有包含關鍵因素：教學設計人員和其他培訓專家?！坝行У慕逃⒉皇呛唵蔚氖虑?，這需要非常了解你的受眾，以及你如何衡量教學成效，”Walls表示，“在這個行業(yè)中，在安全教育的歷史完全忽略了這些，它并沒有擔心效果；并沒有考慮這是否有效。”“從而導致大家普遍認為，安全培訓并不值得花時間和金錢，”Walls繼續(xù)說道，“這是責備工具的經(jīng)典綜合征，錯在于你，而不是受眾?！卑踩庾R培訓：不只是為了合規(guī)盡管如此，現(xiàn)在越來越多的企業(yè)正在轉(zhuǎn)向安全培訓來解決各種安全和業(yè)務問題。原因之一在于，在企業(yè)環(huán)境中，攜帶自己設備到工作場所（BYOD）趨勢的日益流行讓設備可以繞過或者無視很多企業(yè)用于保護臺式機和筆記本電腦的經(jīng)過檢驗而可靠的技術控制。這樣一來，攻擊者和敏感企業(yè)數(shù)據(jù)之間的唯一障礙可能是企業(yè)對使用BYOD手機的安全最佳做法的知識。Walls認為，另一個因素是影響著各種規(guī)模和各行各業(yè)的企業(yè)的數(shù)據(jù)泄露事故浪潮。面對數(shù)據(jù)泄露事故問題，企業(yè)可以部署盡可能多的技術，但如果員工仍然會打開釣魚郵件，培訓就成為一種必然。Walls表示，企業(yè)還關注數(shù)據(jù)泄露事故相關的“聲譽問題”。例如，在零售商Target和HomeDepot公司遭遇大規(guī)模數(shù)據(jù)泄露事故后，這兩家公司飽受批評，有消息稱這兩家公司的安全程序都存在嚴重的人員和技術失誤。在看到這樣的數(shù)據(jù)泄露事故時，企業(yè)通常擔心面對來自客戶和股東的類似批評—關于員工沒有受到適當?shù)呐嘤?。Walls表示：“企業(yè)想要能夠證明他們已經(jīng)教授其員工所有這些內(nèi)容，以及員工具有相關技能?！边x擇安全意識培訓供應商面對市場中數(shù)以千計的安全意識培訓供應商，以及進入Gartner魔力象限的近20家供應商，企業(yè)可能想知道哪家最好。盡管Gartner魔力象限將某些供應商標注為“領導者”或者“遠見者”，Walls強調(diào)，對于培訓，并沒有“最佳供應商”，只有滿足具體要求的合適的供應商。Walls表示，企業(yè)必須認識到，從性質(zhì)來看，安全培訓應該對目標受眾進行定制化?？蛻舴諉T工可能適合一年兩次的基于計算機的培訓模式，而首席執(zhí)行官和其他高管則更適合通過其他培訓方法獲取知識?？紤]到這一點，Walls建議，企業(yè)應該看看哪些供應商提供特定主題的培訓（可以是針對特定行業(yè)，或者特定監(jiān)管要求，例如HIPAA或者反釣魚），然后蘋果可用的培訓模式來確定是否滿足企業(yè)員工培訓需求?！斑@可能是具有高互動性的過程，供應商可能會送他們一本書，但企業(yè)必須要自己進行分析，”Walls指出，很多他知道的企業(yè)選擇多個供應商來滿足不同的需求?！叭绻闶窃谟《饶嵛鱽喓托聺晌髦葸\營的跨國企業(yè)，你不能給每個人都安排相同的培訓。”除了事前評估企業(yè)的需求，在選擇培訓供應商需要考慮的另一個重要因素是提供的評估服務。有些供應商可能提供簡短培訓視頻，緊接著是一個測試來幫助企業(yè)遵守法律法規(guī)，但Walls強調(diào)這些方法并不能提高企業(yè)的安全態(tài)勢。企業(yè)應該確定培訓供應商提供持續(xù)的評估服務。Walls表示，反釣魚供應商（例如Wombat、PhishMe和PhishLine）在近年來頗為流行，不僅因為網(wǎng)絡釣魚攻擊給企業(yè)構(gòu)成巨大威脅，而且因為這些供應商客戶真正證明釣魚預防培訓服務的有效性?！八麄儠l(fā)送附有連接的郵件給你，如果你點擊它，你就要繼續(xù)回去參加輔導培訓，”Walls表示，“持續(xù)的評估構(gòu)