企业内部的任何倡议都需要跨部门或团队的利益相关者的广泛支持才能取得成功。NINJIO公司的CEO Shaun McAlmont为此强调,网络安全意识培训项目尤其如此,因为企业中的每一个人都是潜在的安全漏洞。

82%以上的网络攻击都归咎于人为错误,内部人员的错误为网络攻击者提供了更多成功的机会,他们所犯的错误可以在企业的业务安全与灾难之间产生巨大的差异。因此,企业中的每个人都需要理解并接受这个现实。

与所有非技术性的挑战一样,不同的方法将适用于不同的利益相关者。对于专注于资源分配的企业高管来说,除了为网络安全意识培训项目的成功编制明确的关键绩效指标之外,将网络攻击的破坏能力与网络安全意识培训的成本效益进行比较也是很重要的。

对于更广泛的员工队伍,首席信息安全官和团队领导者可以阐明网络安全意识的价值,并指出这是一个专业发展机会,也是一种展示员工如何维护企业安全来增强自身能力的方式。网络安全意识培训旨在确保长期的行为改变,这意味着为所有利益相关者提供正确的激励。

由于网络安全涉及到每个人工作的更多方面,拥有一个知道如何建立和维护利益相关者对网络安全意识培训计划支持的安全领导团队至关重要。更重要的是,人们亲眼目睹了企业获得的一些成功,这些企业的思维从把网络安全意识培训作为IT孤岛中的事物转变为将其视为文化的核心成分。正确了解网络安全的定位是至关重要的,鼓励那些积极通过定期培训来降低风险的人员,首席信息安全官需要有直接的洞察力和指标来跟踪员工在网络安全培训方面的进展。

为网络安全意识辩护的财务理由

随着企业增加对网络安全团队的投资,有必要为网络安全意识培训的采用和遵守提出清晰而令人信服的理由。要做到这一点,最可靠的方法之一是强调网络攻击将会为企业带来惨重的损失。根据IBM公司发布的一份研究报告,全球各地的企业在2022年遭遇数据泄露事件造成的损失达到了平均435万美元,并创历史新高。在美国,这一数字高达944万美元,是世界各国中最高的。在IBM公司的调查中,83%的企业表示他们以前曾经遭到网络攻击。

一些代价最高和最常利用的攻击载体直接涉及员工:典型的网络钓鱼攻击在2022年造成了平均491万美元的经济损失,被盗或受损凭证的网络攻击造成的损失平均达到450万美元。

对于企业来说,阻止这些网络攻击的培训成本相对便宜,只要具有网络安全意识的员工阻止一次网络攻击就会带来积极的投资回报。根据IBM公司的调查,对于拥有网络安全培训计划的企业来说,遭到网络攻击造成的财务影响不那么严重。

网络安全意识培训的实践案例

网络攻击对企业造成的损失不仅仅是经济上的。IBM公司在调查中还发现,识别和遏制网络攻击需要一段时间:发现漏洞平均需要207天,修补漏洞需要70天。运营部门主管很容易地理解在七个月的时间里可能会丢失多少敏感数据,多花两个多月的时间和费用修补漏洞,也将影响企业的业务。

更重要的是,企业在遭到网络攻击之后可能面临严重的声誉损失。用户关心个人信息安全,这也延伸到了他们与企业的互动方式。Arcserve公司日前发布的一份调查报告发现,59%的消费者表示他们会避免与在过去一年中经历过网络攻击的企业合作,光是这个数字就足以让企业的首席营销官和销售主管相信网络安全意识培训是值得的。

这些都是企业建立一个强大的网络安全意识培训计划的令人信服的理由,尤其是在企业面临经济逆境时,他们越来越关注网络攻击带来的损失。网络安全意识培训不仅可以帮助企业避免网络攻击造成的毁灭性损失,还可以防止消费者由于企业遭到网络攻击而失去信任,并确保员工能够适应不断变化的网络威胁形势。

在企业内部获得利益相关者的支持

即使企业的领导团队支持网络安全意识培训计划,仍然需要获得员工的大力支持。很多人对网络安全最普遍的误解是,确保网络安全完全是IT团队和安全团队的责任,这些团队拥有许多员工不具备的特定技术。这种误解导致一些员工有一种无力感,他们觉得自己受网络罪犯摆布,而并不认为保护自己的信息安全也是他们的责任。

犯这种错误的不仅仅是员工,部门经理和企业高管也经常坚持认为网络安全超出了他们的范围,这意味着他们同时增加了自己被黑客攻击的几率,并为团队成员树立了一个不良的榜样。

任何网络安全意识培训项目的首要任务都是消除这些幻想,向企业的每个人展示他们不仅有能力防止网络攻击,而且有责任这样做。但这种策略不能以无聊的讲座、PowerPoint演示文稿或大量电子邮件的形式表现出来。让员工加入企业的网络安全意识培训计划的唯一方法是让他们充分投入到学习过程中,通过高度参与以及培训相关内容,确保可持续的行为改变。

当涉及到网络安全意识培训课程时,有几种方法来理解“相关性”。首先,培训内容应该基于真实世界的网络攻击和阻止网络攻击的策略。其次,在员工独特技能和学习风格的基础上实现个性化。第三,应该使用讲故事和游戏化等策略,这将给员工关注的理由。网络安全意识培训就是要提供正确的激励措施来保持参与度,而且这些激励措施必须在企业内部具有说服力。

构建网络安全文化

有效的网络安全意识培训计划的最终目标是使网络安全成为从上到下的企业文化的一部分。网络安全意识不应该只是员工、部门经理和企业领导者在参与网络安全意识培训内容或明确讨论工作场所的网络安全时才考虑的事情。应该告知他们所做的一切,从他们如何使用数字资源到如何与同事沟通和合作。

广泛的利益相关者支持是创建网络安全文化的先决条件,因为这一过程需要企业中每个人的持续承诺。这就是强有力的激励至关重要的地方。提高敬业度和保留率的最佳方法之一是打开一个新的窗口,也就是向员工展示企业及其领导层关心他们个人的职业发展,提供机会培养他们的网络安全意识就是其中一种方法。还可以通过鼓励和奖励健康行为来帮助企业关注问责制。企业可以使用许多工具来维持问责制,例如网络钓鱼测试和对员工优势和劣势的个性化评估,这些工具可以开辟关于改进领域的沟通渠道。

如今,网络威胁在不断发展,因为黑客正在不断地测试企业的防御措施,并设计新的方法来利用漏洞。企业员工通过培训可以了解最新的网络犯罪策略,并利用这些知识来保护业务安全。然而,网络犯罪分子仍然只需要一个单一的入口点就可以进行网络攻击,这也让企业清醒地认识到,实施网络安全意识培训计划需要利益相关者的全面支持。