中小型企業(yè)如何進(jìn)行安全意識培訓(xùn)

申請免費(fèi)試用、咨詢電話：400-8352-114

法規(guī)遵從性和數(shù)據(jù)漏洞的增長使各公司的安全意識培訓(xùn)計(jì)劃勢在必行。薩班斯·奧克斯利法案與健康保險(xiǎn)便利和義務(wù)法案要求進(jìn)行安全意識培訓(xùn)。這項(xiàng)要求涉及到承包人、賣主等――如那些為規(guī)范的公司提供服務(wù)的中小型企業(yè)。無論如何，教導(dǎo)員工一些關(guān)于計(jì)算機(jī)安全衛(wèi)生的只是都是個(gè)好主意。它能幫助保護(hù)公司的知識資產(chǎn)，如果這些資產(chǎn)丟失，就足以導(dǎo)致一個(gè)沒有能力保護(hù)自己的中小型企業(yè)的垮臺。然而，不像它們?yōu)橹峁┓?wù)的那些規(guī)范的公司，中小型企業(yè)沒有龐大的預(yù)算和專門的培訓(xùn)部門人員。

著重點(diǎn)

有兩點(diǎn)是中小型企業(yè)在安全意識培訓(xùn)進(jìn)程中需要特別注意的。第一點(diǎn)，對全公司都要教授一致的安全信息，中小型企業(yè)太小而不足以實(shí)行具有不同傾向的多種培訓(xùn)計(jì)劃。并且，這項(xiàng)計(jì)劃要由信息技術(shù)部門負(fù)責(zé)管理。

第二點(diǎn)，要謹(jǐn)記你的大部分電腦使用者并不是專門人員，培訓(xùn)應(yīng)該簡單且接近日常用戶。

無論你的側(cè)重點(diǎn)是什么，以下這些在每個(gè)計(jì)劃中都是絕對必要的。

用戶名和密碼的處理

員工應(yīng)該學(xué)會安全操作用戶名和密碼。比如，如何選取安全系數(shù)高的密碼，不要將密碼寫在紙上或?qū)懺谡迟N于顯示器的便簽上，更不要告訴任何人包括技術(shù)支援中心。

網(wǎng)絡(luò)和郵件的使用

員工應(yīng)該學(xué)會提防電子郵件的附件，特別是來自未知發(fā)件人的郵件。告訴他們這些附件可能包含病毒、特洛伊木馬和其他惡意程序等會損害公司的東西。員工還需要知道公司對合理使用互聯(lián)網(wǎng)和安全瀏覽的政策，在辦公室的網(wǎng)絡(luò)接入應(yīng)該只能于業(yè)務(wù)用途。色情和賭博網(wǎng)站都會含有惡意程序。這些要在協(xié)商中解釋以使員工們理解。

移動設(shè)備和便攜式電腦安全

教導(dǎo)那些以便攜式電腦為生經(jīng)常出差的人如何防止在旅行中電腦被盜，要他們在機(jī)場等公共場所登陸時(shí)要當(dāng)心別人偷窺到用戶名和密碼。員工也要知道在辦公室中USB接口和無線接入點(diǎn)能造成的威脅。應(yīng)該教他們這些移動設(shè)備不能在工作中使用。

社會工程學(xué)

負(fù)責(zé)涉外的員工有可能被一些精于記誦的人欺騙，他們會用花言巧語誘騙這些員工透露公司的信息或者能夠接入重要系統(tǒng)和資料數(shù)據(jù)的用戶名和密碼。教這些員工基本的職業(yè)訣竅以防止他們被騙。

應(yīng)對突發(fā)事件

如果一個(gè)員工感到有些東西可疑或認(rèn)為出現(xiàn)了漏洞，教給他們應(yīng)對這些突發(fā)事件的程序。讓他們知道該去找誰和怎么找。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)行了本極好的刊物，SP-800-50，上面提供了該如何策劃安全意識培訓(xùn)的模版和指導(dǎo)。這份70頁的文件有免費(fèi)的PDF版可以在研究院的網(wǎng)站上找到。

內(nèi)部培訓(xùn)、外部培訓(xùn)或網(wǎng)絡(luò)培訓(xùn)

傳統(tǒng)上，有三種途徑策劃安全意識培訓(xùn)：在公司內(nèi)部尋找培訓(xùn)人員和培訓(xùn)部門，聘請外部培訓(xùn)公司或者依托網(wǎng)絡(luò)、電腦進(jìn)行培訓(xùn)。任何一種方案都會超出中小型企業(yè)的財(cái)力資源。

如此，能滿足中小型企業(yè)想要提高員工信息安全意識到正常標(biāo)準(zhǔn)的途徑是什么呢?有在傳統(tǒng)三個(gè)方法的基礎(chǔ)上加以少許改動的兩條途徑。中小型企業(yè)可以仍然可以使用內(nèi)部資源進(jìn)行范圍性培訓(xùn)或者購買網(wǎng)絡(luò)、電腦的培訓(xùn)程序。另外，中小型企業(yè)還可以創(chuàng)造性的在辦公室張貼些成本低的彩色安全意識海報(bào)對員工潛移默化。

如果你的信息技術(shù)部門能提供一兩個(gè)人策劃培訓(xùn)，一個(gè)內(nèi)部特制的計(jì)劃也是可行的。按照NIST的指導(dǎo)方針或其他材料，策劃一天或半天的課程就足以使讓員工認(rèn)識到有關(guān)電腦安全的幾點(diǎn)重要問題。

也有很多價(jià)格合理面向中小型企業(yè)的基于網(wǎng)絡(luò)和電腦的培訓(xùn)。

Glenelg，Md的一家Native Intelligence公司出臺了一個(gè)有趣的培訓(xùn)計(jì)劃。這家公司提供網(wǎng)絡(luò)培訓(xùn)，帶有安全小提示的通訊和海報(bào)。所有材料都能夠定制并印上你們公司的標(biāo)識。Native Intelligence公司也對材料定期升級。這個(gè)程序能夠指導(dǎo)誰完成了培訓(xùn)，以保證每個(gè)公司員工都真正接受了需要的安全培訓(xùn)。

UK-based Easy i公司提供相似的網(wǎng)絡(luò)培訓(xùn)，他們可以定制培訓(xùn)以適應(yīng)個(gè)別公司的需求。他們同樣提供不需要定制的產(chǎn)品。The Security Awareness公司提供網(wǎng)絡(luò)培訓(xùn)、視頻教育、實(shí)況指導(dǎo)、角色扮演和仿真游戲。

最新奇的途徑來自于國家安全研究院的"安全意識"。它以HTML格式向用戶發(fā)送帶有安全信息的電子郵件和會直接彈到員工桌面的彈出窗口。它宣傳自己是最便宜的，培訓(xùn)五千名員工只需每年995美元。

不管你選擇哪個(gè)計(jì)劃，請確保它確實(shí)適合你的需求并能檢驗(yàn)員工學(xué)習(xí)并完成了課程。通過這些途徑，一個(gè)中小型企業(yè)就能達(dá)到安全意識培訓(xùn)的規(guī)格標(biāo)準(zhǔn)。(techtarget)