在 COVID-19 時代，安全意識更為重要。大流行迫使許多員工離開辦公室的受控環境。他們在客廳和臥室工作，經常使用不受 IT 部門控制的設備，同時從可能不安全的網絡進行連接。

安全意識的重要性是什么？

安全意識是員工對組織面臨的安全威脅的理解程度。它包括對威脅的理解以及可以采取的應對措施，特別是他們作為個人在創造和減輕潛在安全風險方面所發揮的作用。

網絡安全意識的首要重要性是減少威脅。員工和高管有權訪問敏感數據，至關重要的是，他們必須了解這會如何以及為什么使他們處于弱勢地位。

此外，許多認證和監管框架要求員工接受培訓以提高其安全意識，包括 PCI-DSS、HIPAA 和 SOC 2。

企業面臨的信息安全威脅

在我們了解企業如何提高員工和高管的安全意識之前，讓我們考慮一下美國各地企業每天面臨的一些威脅。

網絡釣魚攻擊是針對企業的最常見攻擊之一。攻擊者欺騙電子郵件或即時消息身份，誘騙員工交出信用卡號或身份驗證憑據等敏感數據。

勒索軟件攻擊使用惡意軟件來加密數據并要求贖金以換取解密密鑰。

CEO/高管欺詐攻擊冒充高級管理人員的電子郵件或社交媒體帳戶，誘騙員工將資金或敏感數據傳輸給攻擊者。

內部攻擊是員工或高管違反信任的行為，他們將敏感數據泄露給未經授權的第三方或故意使組織面臨其他類型的攻擊風險。

軟件和硬件配置錯誤是最常見的漏洞之一。配置錯誤或過時的軟件經常被用作攻擊媒介，以訪問敏感設備和網絡。

這些安全威脅帶來的風險可以通過提高安全意識和安全友好的公司文化在很大程度上得到緩解。

如何提高安全意識？

提高安全意識應該是處理敏感數據的企業的首要任務，特別是如果這些數據符合PCI-DSS和HIPAA等監管標準。

安全意識培訓

組織的安全性不僅僅是其安全和 IT 團隊的責任。每個高管和員工都應該發揮作用。然而，普通人群的平均安全意識水平相當低，即使在技術員工中也是如此。

提供培訓至關重要，為員工提供識別威脅和適當應對威脅所需的知識和工具。一刀切的安全意識培訓方法是無效的。安全培訓應與員工、他們的角色和他們現有的知識水平相關。

安全風險分析

盡管企業面臨著許多普遍存在的廣泛威脅，但他們還必須意識到其技術選擇、運營流程和招聘實踐帶來的特定威脅和漏洞。這些因素中的每一個也可以與監管框架相互作用，以產生一系列獨特的安全挑戰和潛在威脅。

安全意識培訓應針對每個企業的安全挑戰量身定制，同時滿足讓員工和高管廣泛了解潛在威脅和漏洞的需求。

安全測試

安全測試可幫助企業識別潛在的安全漏洞。在測試期間獲得的知識可用于緩解漏洞并為安全意識培訓計劃提供信息。

例如，模擬網絡釣魚攻擊通常用于識別可以從有針對性的培訓中受益的易受攻擊的高管和員工。滲透測試，也稱為滲透測試或道德黑客攻擊，也可用于突出要通過培訓解決的特定漏洞領域。

將安全和隱私放在首位

組織具有相互競爭的優先級，安全性和隱私可能會因其他運營和財務考慮而失敗。當安全性優先級較低時，組織提供最少或不存在的安全預算，導致高管缺乏興趣，并且在實施軟件和業務流程時表現出不愿意關注安全性和隱私性。

如果員工覺得他們的管理層沒有優先考慮信息安全，他們就不太可能對潛在風險給予足夠的關注。

安全意識培訓是企業可以強調安全性重要性的一種方式，但組織和團隊中的某個人全面負責監視和實施安全策略也很重要。

培養安全友好型文化

安全意識與獎勵報告安全問題的員工并與他們合作提高意識的文化齊頭并進。對安全的消極態度可能會阻礙報告和緩解安全問題。

要培養積極的安全文化，請執行以下操作：

將安全錯誤視為培訓機會，而不是羞辱或懲罰的機會。

鼓勵和獎勵報告潛在漏洞的員工。

營造合作氛圍，使員工相信公司中的每個人都在朝著共同的安全目標努力。

對安全過度保密和對犯安全錯誤的員工的嚴厲對待可能會滋生一種恐懼氣氛，阻礙對安全問題的公開討論。

安全意識是安全、隱私和法規遵從性的重要組成部分。安全意識培訓、安全友好型文化以及滲透測試等技術方法可幫助企業降低風險并避免破壞性違規行為。

審核編輯：郭婷