与网络罪犯的对战中获胜

日期 : 2018年12月31日

机构 : Palo Alto Networks

作者 : Palo Alto Networks 副总裁兼亚太区安全总监 Sean Duca

 

员工正迅速成为防御网络罪犯的最薄弱的一环。不论是无心之失，或因其读取敏感资料的权限被针对攻击，员工的人为错误可以轻松打开迎接恶意软件或资讯盗窃的大门。

网络攻击之所以成功，往往涉及不当的工作流程和对人性的利用。要减低企业被威胁的可能性，定期员工培训需着重「预防」多于「治疗」。对企业来说，纯粹以规程为导向的网络安全培训方法已被证实无效，通常是因缺乏趣味或切身感而未能引发员工的想象力。企业应侧重于教育员工如何保护个人资料，从而鼓励他们于工作间进一步实践维护网络安全的措施。

在众多员工培训的形式中，日渐流行将网络安全教育计划「游戏化」(Gamification)。「游戏化」即在非游戏环境中使用游戏机制，将游戏激发的刺激感应用到其他不甚有趣的活动。游戏化的计划加入竞争和奖励元素，适用于不同行业，因而变得流行。

雇主可以两种方法将其网络安全培训游戏化：

令培训变得更刺激吸引

游戏化可以多种方式帮助企业提高网络安全，包括向员工展示网络攻击预防方法和了解软件安全漏洞。

国际顾问公司罗兵咸永道（PwC）透过其电子游戏来教授网络安全。管理层玩家各自扮演攻击或防守的角色，在现实的网络安全环境下竞争。攻击者选择攻击策略、方法和技能，而防守者则制定防御战略，投入适当的技术和人才来应对。此游戏让他们了解如何准备和应对网络威胁、公司的防御能力以及网络安全团队每天面对的情况。

游戏化有助令员工培训变得生动有趣，提高员工对网络安全实践的意识，包括如何正确处理攻击。

以奖赏鼓励良好操守

大多数安全漏洞归咎于人为错误，例如面对限期压力的员工可能会忽视公司的安全政策。举例来说，一些防范仿冒诈骗解决方案是培训员工有关电子邮件安全的好方法，活动包括定期向整个企业发送钓鱼邮件来测试员工的反应和行动。

游戏化让企业奖励遵守正确安全指引的员工，进一步鼓励良好的操守。雇主可给予雇员奖章或积分，纪录以便员工参考。有些企业会向达标的员工送赠礼券之类的实际奖励，以作加许。

游戏化系统还可识别表现不佳的员工，以便为他们安排进一步的网络安全培训。认同和奖励能激励员工维持良好的操守，提升工作环境的网络安全水平。

任何安全意识培训的核心都在于培养员工的责任感，一份对他们无论在公司或家中所创建、处理和使用的数据的责任感。所有推广安全意识的活动都应该持续推行，要达到目标也并不必大撒金钱。例如:

一、善用影像
可以从短片、海报或比赛入手，提醒大家确保网络安全是每个人的责任。

二、避免威吓手段
企业应致力建立网络安全意识文化，就像举办营销活动那样说服和改变员工的行为。

三、短而精是为上策
就好像人们都会忽略累赘的电邮一样，培训必须保持简短而有趣，并确保是采用从上而下（top-down）的策略。若领袖都不以身作则，跟随他们的员工又怎么会做呢？此举在于教育员工重视及采用网络安全的最佳措施，而非要训练所他们成为专家，所以保持轻松愉快的气氛更有效协助大家学习。

加强和跟进十分关键

培训必须持之以恒；从有效的措施中学习并按需要重新教育员工。测试新入职及现职的员工会否误堕欺骗邮件的圈套，查看多少员工仍然无法识别虚假电邮。鼓励内部沟通，举报虚假电邮，指出可能滞后的部门。这些行为目的不在于针对个别人士，而是为整个企业建立良性竞争。

消灭任何行业的网络风险都是一个漫长的过程，但我们绝对可以掌控情势。我们需要建构让员工提出问题，按需要重新教育的氛围。如果员工受训后能在点击恶意档案前提出质疑，那么你便向网络安全迈进一步。