网络安全、L&D和教学设计

有一句著名的谚语是马克·吐温说的:“每个人都在谈论天气,但没有人在做什么。”你可以用“网络安全”来代替“天气”,在21世纪早期,这种说法会更加正确。

在本文中,我将简要总结Gartner公司2020年的一份报告(最近更新)(“将安全视为商业决策的紧迫性”),以及网络风险管理公司BitSight在2021年出版的一份电子书(“勒索软件:迅速发展的趋势”)中的一些观察。188宝金博官网是多少(这两家机构都不提供付费广告,也没有与任何一家出版物的直接链接。)基于这两份文件,L&D和教学设计师在处理网络安全方面有自己的角色。

Gartner报告:将安全视为一项商业决策

本报告主要用于CIO,但它索赔了三个关于网络安全的特定挑战,其中每个挑战是或可能与学习和发展目标(从报告中引用)有关:金宝搏体育APP官网注册入口

  • 到2023年,网络安全支出的增长将会放缓,而董事会也开始反击,问他们在多年的网络安全支出之后取得了什么成就。
  • 董事会和高管们在网络安全问题上提出了错误的问题,导致了糟糕的投资决策。
  • 改善网络安全的许多目前的方法缺乏提供适当和可靠的保护水平。

如果董事会和高管决定将薪酬差距作为企业战略目标的基础,薪酬与发展至少可以在一定程度上弥补上述差距。该报告提供了良好的分析和研究,并对行动提出了合理的建议,以及从各组织迄今的经验中吸取的一些令人遗憾的教训。结论似乎可以用这一发现来总结:“每个人都在寻找一个根本不存在的简单答案。”

勒索软件:快速发展的趋势

虽然赎金软件是一个网络安全问题,但它是一个大而且成长的。Bitsight的电子书报价由剑桥大学收集的数据显示,赎金软件网络保险从2014年到2019年的13%从2020年增加到54%。这本书还引用了表现出敲诈勒因从单一敲诈勒索改变的例子(从中寻求资金单一组织)到三重裁员(从包括个体受害者在内的受害者链中寻求资金)。Bitsight特征在于将此行为的团伙的商业模式称为“勒索沃特仓库服务”。

有对付网络罪犯的最佳做法,主要是通过“对核心安全卫生的不懈关注”来降低成为受害者的可能性。这意味着每天有效执行安全控制和实践的团队成员。

我们能做些什么来防止或处理违约?

BitSight电子书确实引用了他们提供的解决方案,但他们也明确表示,提供有效降低风险手段的组织数量很少,这是有原因的。使用BitSight的数据,很明显,不需要在安全卫生基准(无论你如何衡量它们)上有很大的改进,就可以大大降低被勒索软件侵害的可能性。

在准备这篇文章的过程中,我采访了三位处理这一领域问题的专家。访谈很长,回复也很详细,所以在本文中我只总结每位专家的关键贡献,其余的留到以后的文章中。

  • 如果发生了违约,那是谁的过错呢?
  • 基本面:处理违约的指导方针,教育和规则;数据丢失预防;社会工程学。
  • 如果一个组织在处理违规时需要帮助,该怎么办?

Jerry Ray,企业数据安全解决方案供应商SecureAge首席运营官

如果发生了违约,那是谁的过错呢?是员工吗?是它吗?这是时代吗?Jerry的回答让我很惊讶,他承认这是一个非常棘手的领域,因为他觉得没有人知道所有的答案,包括安全专家和IT人员。就像他说的,“每个人都有穆里根但是有一种方法可以降低风险,那就是采用一种有效的安全卫生措施,并对Gartner报告中的第三点做出回应。

他说:“这将它留给了工具;软件;来自安全供应商的应用程序。这将Mulligan扩展到用户:情境感知是环境的函数,曝光功能,个人的函数。我永远不会解释一下。当他们经历的情况罕见时,我永远不会说某人缺乏常识。

“这根本不是他们的错。如果有人收到了一封看起来很不稳定的垃圾邮件,里面有联邦快递的拼写错误,糟糕的徽标,糟糕的图标,但他们仍然点击了那个附件,这仍然不是他们的错。这一点我再强调也不为过。系统和物联网的复杂性,以及每一件事都影响着其他一切,意味着我们没有人能够解释所有硬件、软件和连接协议的全部排列,而这些都是你我现在正在做的事情的背后。

“所以真正安全的最后堡垒的工具来自安全专家发展他们,那些创建我们的操作系统和应该建立安全到那些固有的,那些构建的应用程序,应该把安全前沿映射出他们想要构建和交付,而不是事后附加组件。我说了很多“应该”,而“应该”并不是我们可以依赖的。最终,我们想依靠自己,但我必须举起双手。我无法阻止或阻止一个有动机的黑客进入我的系统,获取他们想要的任何东西。但我能做的是确保他们拿走的东西对他们来说是没有意义的,因为我所有的东西都是加密的,对除我以外的任何人来说都是。如果我允许,我的机器上可能会运行可执行程序,但我也有工具,确保如果我不允许,它永远不会运行,因此勒索软件可以影响我或病毒可以影响我。这些都不会影响到我,即使黑客能进入。这就是我花大量时间与其他研究人员讨论安全心态的原则。我在媒体上花了很多时间,试图让大家知道,把责任推到个人身上是错误的做法。这些设备是由人类历史上最富有的公司开发的。 And they've not ever built the security into it the way they should have. They put us in airplanes without wheels, so we can't land properly."

另一种通过考虑系统而不是单个用户行为来提供安全性的方法是“零信任安全模型理解这一模式和杰里的观点,将为高管们提供一条重新引导他们提出正确问题的途径。这并不意味着L&D和指导设计师就没有什么可做的了。如果问题不能被重定向,或者答案的执行是错误的,仍然可以做一些事情。

Neil Lasher,网络安全专家

尼尔对我的问题的回答主要是,需要为员工提供指导方针、教育和规则,以应对网络安全或违规行为。但他从最基本的问题开始:大多数安全漏洞实际上发生在哪里,以及处理社会工程的问题。

“我们的学习管理系统和培训项188宝金博官网是多少目本身实际上不是很安全,或者说它们储存的地方不安全。我们使用第三方系统来学习管理系统,但并不真正知道它们在什么服务器上,它们都有很多有用的信息188宝金博官网是多少可以被窃取。这是第一个方面。第二个方面是L&D从教育的角度应该做什么。现在你的视野很广了。

“96%的盗窃行为发生在企业内部。组织内部的人拿走了不该拿走的东西,人们离开了,他们拿走了用户的数据库,所有和他们打交道的人,以各种不同的方式拿走了大量的专有信息。公司有很多方法可以避免这种情况发生。数据丢失预防是网络安全的关键,在网络安全中,你可以看到人们在做什么,并阻止他们做什么。如果有人从私有文档中复制了一段并试图将其放到他们的博客中,DLP系统实际上会阻止他们复制和粘贴,他们会得到一个通知,说这是私有信息,你不能这么做。

“工作人员的教育是一个非常不同的一面。这是关于人们点击Facebook上的链接的方式。沃尔玛不得给您1,000美元的折扣凭证,因为您将您的姓名和细节放入表格中。如果你在一个组织中,你必须开始培训人们在点击之前有需要查看的东西。此刻在英国的整个范围内都有一系列。有一个夸张的文字从皇家邮件说,这是抵达消费者,说,“我们有你的包裹。付出一磅15便士。点击这里付款。'他们会拿走你的信用卡详细信息或你的姓名和地址,你会想知道为什么你的信用卡在24小时内最大化。HMRC,她的陛下的政府网站在哪里支付税款,基本上将永远不会向您发送消息你是为期3000磅的回扣。点击这里单击此处单击此处下载表单。您下载它,您下载它的分钟,它包含别的东西。HRMC会向您发送一封信。没有人没有得到3,000英镑的回扣知道他们已经得到了它。但是我们可以教导人们来看看的东西。我们看看事情的写作方式。语言错误有很多欺骗电子邮件。政府部门将没有向您发送一封电子邮件写入英语不佳的电子邮件。他们通常非常好。你不会得到,'我最亲爱的账单,你被授予了3,000英镑的回扣。这不是他们写信的方式。

“我的回答非常简单——每家公司都应该有一套规则,当你认为发生了一些特定的事情时,你应该怎么做。如果你收到一封你认为是网络钓鱼的邮件。如果您认为有人可以访问您的系统,那么第一个调用端口应该是IT。绝对的。给IT部门的人打电话说,‘我觉得我被入侵了,我刚收到一封邮件,我点击了它。我觉得我不应该点击那里。”让他们知道,因为他们可以把它从网络上点击一个按钮。如果你拿起东西,它就会停止横向运动。你可不想传染给办公室里的其他人。然后他们会亲自过来看看你的机器,看看你是否真的有什么东西。 If you haven't, they'll put you back online again. So that's what should always be your first rule to anybody within an organization, whether in L&D or otherwise. It needs to be brought in some short micro learnings, all around what not to do."

Zarmeena Waseem,国家网络安全联盟网络安全教育主任

如果一个组织在处理违规时需要帮助,该怎么办?他们都去找谁?特别是一个小型组织,可能没有辩护团队,或事件响应团队,或情报团队。如果一个缺口发生了,而正在学习和发展的某个人意识到了它或者是目标,那么正确的反应是什么?金宝搏体育APP官网注册入口

“这取决于你组织的结构。如果有防守团队或事件响应团队,我认为这些是第一个接触点。英特尔是防守的备份。所以防守和事件响应通常相应在不同的组织中的名字。这将是一旦违规行动的团队就会动员。

“我有机会工作的大多数组织要么在结构上拥有与IT相邻的安全性,要么在IT的保护伞下拥有安全性。获得正确的信息并与网络团队沟通将是明智的,即使你不需要立即调动他们。

“我认为这个角色一直存在,现在变得更加正式了。这仍然是一个相当年轻的领域。所以最近有很多事情正在变得制度化,如果你愿意。每个组织都有一个安全领导,但头衔通常不一样。现在我认为首席信息官(CIO)或首席信息官(CSO)正变得越来越受欢迎,这样人们就会知道,在最高管理层或行政领导层中有一个安全的位置。这是一个很重要的角色。

“对于规模较小的组织,比如说,没有指定的角色处理信息安全,他们会联系谁?”根据问题是什么或者事件的类型,你可以联系一些组织。有页面和资源。例如,谷歌现在在Gmail中有一个报告垃圾邮件或报告钓鱼功能。联邦贸易委员会有一个举报欺诈的网页。根据事件的规模,如果当地执法部门或联邦调查局需要参与,这也是一件事。

“这是最难的部分。我认为,在很多行业,以及在安全领域,答案总是‘看情况而定’。我们所能做的最聪明的事情就是采取预防措施,而不是事后去灭火。主动的安全,而不是被动的安全,总是任何有安全意识的组织的目标。这通常意味着应该大力推动培训和教育。

“国家网络安全联盟将尽我们所能来支持这些需求。如果人们需要其他资源,我们在这里回答问题或引导他们走向正确的方向。读者可以访问staysafeonline.org。我们也分享吨和大量的编程和资源,也在我们的社交媒体页面,尤其是Twitter,LinkedIn和Facebook上。我们还有一个YouTube频道(StaySafeOnline1),我们保存所有的网络研讨会和其他信息。所以这是一个信息宝库。我们一般的提问邮件是[电子邮件受保护]

Baidu