营造安全文化

十月是全国网络安全宣传月。

它也恰好是（除其他外）乳腺癌宣传月、牙科卫生月、全国欺凌预防月和我个人最喜欢的全国比萨月。另外，今天是万圣节！但我离题了……我们是来讨论网络安全的。

每个制造商都应该对所有员工进行网络安全意识培训至少 一年一次。很多人一提到“网络安全”和“培训”就被吓坏了，所以十月似乎是一个合适的时间。您的培训至少应涵盖相关的公司政策，例如您的 IT 安全、信息安全和人身安全。

多年来，我们中的许多人都接受了这种类型的培训，并学会了害怕它。在培训中，有人发表与去年完全相同的网络安全演讲，然后分发一份文件供您签名，表示您在那里。一个真正的贪睡节。这种培训能满足最低要求，但对实际塑造员工行为几乎没有影响。

网络安全意识和培训工作的真正目的应该是创造一种安全文化，这意味着员工应该将良好的网络安全实践视为良好的业务，并作为“我们在这里开展业务的方式”的一部分。员工应该觉得自己能够做出良好的网络安全决策，并了解什么才是正确的决策。意识和培训应侧重于：

• 停止危险行为： 帮助员工了解哪些决定会导致糟糕的结果。例如，打开来自未知来源的电子邮件附件。
• 鼓励降低风险的行为： 帮助员工了解并关心实施可提高安全性的流程。例如，如何设置强密码。
• 把员工变成哨兵： 帮助员工识别和响应网络安全事件。例如，如果访客将未经授权的 USB 驱动器插入机器，该怎么办。

理想情况下，培训应该是持续的努力。关于如何将网络安全培训纳入企业日常运作的一些想法包括：

• 经常强调网络安全是贵公司的一个重要目标。
• 在每次会议中加入一个网络安全提示、技巧或提醒。
• 在工作场所周围张贴有关适当安全措施的提醒。
• 定期召开会议讨论可能的流程改进，这可以让员工更轻松地做出更好的安全决策。

关于良好的员工网络安全培训是什么样的，已经有很多研究。一般来说，可以使用首字母缩写词“RAINSTORMS”来概括。是的，我现在刚刚编的。

• R eal：使用真实案例研究或真实场景有助于将课程带回家。
• A 可操作：包括员工可以立即做的事情。这可能包括更改他们的密码、清点其 IT 资产或确保他们在手机中拥有应向其报告事件的个人或组织的联系信息。有时，长期的家庭作业也很合适，但有一个眼前的目标总是有帮助的。
• 我 互动：角色扮演、小组讨论或动手练习是使培训更具互动性的一些好方法。理想情况下，互动应该包括涉及各级管理人员的双向对话，以确保每个人都知道每个人都有相同的责任，并且每个人都在同一页面上。
• N ew：在培训中进行一些重复是合适的，尤其是在谈论政策时，但不应过时。不同的培训形式（例如讲座、角色扮演、视频）可以提供帮助。
• S mall：一口大小的信息块比强加给员工的整个计算机科学学位的信息更容易消化。一次一个主题通常更可取。
• T estable：网络安全培训应该有一个可衡量、可测试的目标。如果是一般意识，也许可以开发一个测验。如果目标是减轻网络钓鱼攻击，则可能会在事件发生前几周和之后几周发送虚假的网络钓鱼电子邮件。这将有助于展示培训的效果。
• O wned：员工在离开培训时应该有一种主人翁感，网络安全是他们的责任；他们应该感到有能力做出良好的网络安全决策。
• R elevant：大多数公司都有不同类型的用户。针对每种类型的用户量身定制培训使其更加真实。这可能意味着对车间员工和办公室员工进行不同的培训。
• M emorable：使用首字母缩略词、简洁的助记符，或者，我个人最喜欢的幽默。人类能记住有趣的事情——双关语、糟糕的音乐视频、猫的荒谬模因——比无聊的讲座要好得多。不要害怕打破常规并享受乐趣。
• S impl：最重要的是，培训应该很简单。充满技术胡言乱语的过度技术课程只会让人们入睡。

国家网络安全教育倡议 (NICE) 提供了一小部分免费和低成本资源来帮助进行员工培训。网上还有许多其他资源可用。只需进行互联网搜索，您就会被各种选择轰炸。使用上面的 RAINSTORMS 模板评估这些选项。

在整个 10 月份，NIST MEP 将按照国家网络安全联盟 (NCSA) 提供的主题和大纲松散地发布一系列博客。今年的主题是“尽自己的一份力量。 #BeCyber​​Smart。”现在，就我个人而言，我从不喜欢自我宣传主题标签，但如果您在本月发布有关网络安全的推文或博客，请考虑使用 #BeCyber​​Smart 主题标签 - 我们将看到它的进展。

NCSA提出的大纲如下：

• 10 月 5 日那一周（第 1 周）：如果你连接它，保护它
• 10 月 12 日那一周（第 2 周）：保护家庭和工作中的设备
• 10 月 19 日那一周（第 3 周）：保护医疗保健中的互联网连接设备
• 10 月 26 日那一周（第 4 周）：互联设备的未来

不知道从哪里开始？您可以联系当地的 MEP 中心，了解有关如何实施有效的网络安全培训计划的更多信息。您还可以在 NIST MEP 网站上访问制造商的网络安全资源。

此博客是为国家网络安全意识月 (NCSAM) 发布的系列文章的一部分。该系列中的其他博客包括如果您连接它，Zane Patalive 保护它，可疑思想：您的业务可能已被 Pat Toth 入侵的非技术标志，Jennifer Kurtz 保护互联网连接的医疗设备和连接设备的未来Erik Fogleman 和 Jeff Orszak。