歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
資安新兵訓練營
2005 / 09 / 12
David Bianco
選擇適合你的訓練方式
所有安全意識課程的核心,都是要教育使用者資訊的價值與存取控制,並訓練他們遇到哪些不尋常的事件時該做回報。使用者不必是專家——如果訓練的範圍不脫離他們的日常工作,他們會更容易吸收進去。
許多公司一開始常採用低成本且未經包裝的課程,或將安全意識課程委外,以便善用教育機構的經驗,很少公司會以自己的痛苦經歷來教育使用者。委外的課程、推廣的教材與教學工具固然提供了實用且成熟的安全意識課程,但卻缺乏經年累月的研究、設計與微調。
雖然各家廠商所提供的課程各有所長,但對於這些委外課程,你只需在意幾項功能(請參考:「功能要求」)。安全教材的授課方式也非常重要:雖然大多數廠商皆有提供線上資源,但有些也提供了實體教室的訓練課程。
另外,也要看看這些教育單位提供了怎麼樣的學習追縱工具。每月的學員報表當然是不可或缺的,但有些公司也提供了額外的報表工具。別忘了問問看你是否可以建立自己想要的報表。
SANS Institute是最為人所熟知的「現成」安全意識訓練,它不但提供了線上學習,還提供了面對面的教學、學習追縱,以及傑出的輔助教材。Symantec Education Services也提供了單元式的安全意識課程,但它基本的組合只包含了書面教材的CD,你必須自己找講師。
如果這些現成的方案都不符合你的需求,那麼就開發自己的安全意識課程吧,上至CEO,下到郵件收發員,你都可以為各類使用者設計出最適合他們的課程。例如,雖然所有使用者必須學習如何選擇好的密碼,但程式開發人員還需了解如何撰寫安全的程式,而業務則必須知道如何保護筆記型電腦及PDA上的資料。自行開發的訓練課程更容易與公司的安全原則及程序整合。不過這也是最花錢的方法,從人事、時間,以及預算的觀點來看,適合這種方案的要不是最小的組織,要不就是最大型的組織。
對於中型的組織而言,則可採用混合的方式,也就是將外部的安全意識套裝課程根據自己的特殊需求進行修改。多數廠商都有提供客製化的服務,其中包括了Security Awareness Company,他們肯依據你的需求去修改制式化的課程,讓你的安全意識課程更有人氣。另外,ReeseBrook也提供了HIPAA、GLB、SOX,以及「愛國者法案」(Patriot Act)等規定的課程模組。
現在就行動!
廣告界有個說法,就是潛在客戶必須看過你的訊息三次,才有辦法讓他們注意你的產品,但若要讓他們行動,則需要更多的努力。安全意識教育也一樣。因此請務必慎選你要傳達的訊息,並反覆推敲。
試試這些有效的方法吧:
?建立品牌—別忘了現代行銷手法的強大效果。你可以為你的安全意識教材建立一個商標。將訊息的目標設定為最需要安全意識課程的使用者群。記得要做的有創意、有趣,而且要簡單明暸。
?讓訊息傳出去—「好康道相報」。你可以利用傳單或是螢幕保護程式,將容易記憶的訊息或標語傳達出去。
?反覆進行—環境中的威脅變化快速,因此訓練課程也必須與日精進。請時常檢閱你的訓練課程,並要求所有的使用者每年至少得整頓一次他們的電腦存取權限。
?發佈快訊—請善用公司內部刊物或內部的郵件系統。寫的內容要儘量減短,技術字眼也要越少越好;大概只需一到兩段的文字,就可以達到快速通知使用者的目的了。
?建置安全部落格—部落格(blog)是新流行的全民日誌:你可以將每天或每一週的安全災害,寫成幾段的資訊,並加上你的評論與事後的結果。
千萬要記得避免資訊過量的情形發生。儘量從大量的準則中精挑細選,原則與程序之類的東西固然該寫,但請試著把焦點放在其背後的概念上。例如,不要只是對員工說要好好保管客戶資料庫的密碼,而是要教導他們要是資料庫中的姓名、地址,甚至是信用卡資訊被盜取的話,對員工自己乃至於公司,會發生怎麼樣的後果。你的使用者若是更清楚這些情況,就會做出更好的抉擇,進而讓往後的課程更好推展。
試著將你的核心訊息抽象化到較高的境界,然後再依重要性進行排列。一開始可以強力主打其中的二到三項內容。例如,你可以先讓員工知道公司(而非他們自己)擁有他們工作所需的資料與運算資源,以及要如何做到好的密碼管理。當這些觀念深植在他們心中後,再回過頭來介紹清單的下一個項目,例如如何分辨社會工程詐騙(social engineering scam)以及網路釣魚(phishing)的手法等。
現役安全尖兵
現在你已經將使用者送到資安新兵訓練營了,但你要怎麼評斷訓練的效果呢?不管你是使用套裝的課程還是自己設計的課程,在你開始前,都得先準備好用來評估效果的度量工具。
評量的方法可包含使用者的用心程度:有多少使用者存取過安全意識課程網站?或是點選過每月快訊的E-Mail連結?當然,更直接的評量還包括了有多少使用者參加安全意識課程,以及他們在隨堂測試的平均分數又是多少。
不過最真實的衡量方式,還是在於訓練課程如何影響安全性。像技術支援中心每個月的來電數就是很好的指標。你可以預期這個數字會減少,但是電話數目變多未嘗不是好現象:這意謂著你的使用者更關心安全性問題了。而支援中心的電話成本增加也是個早期的預警,因為誰都不希望最後會影響到公司的營運。
善用你的工具——如果你有不錯的軟體盤點工具的話,可以利用這些工具追縱有哪些電腦安裝了非法的軟體。利用安全意識課程強化這項威脅的知識,如此這些違反規定的電腦數目應該會大量地減少。
當選定評量方式後,請儘速實施,即使你的安全意識課程還沒開始都沒有關係。要評斷的課程是否有效,就得先知道課程實施前的狀況為何。只要建立出你想評量的基準,便可以利用實際的數字來看出課程是否有效。
開戰時刻
安全意識課程是一項長期的安全策略:不經一番等待,你便無法完全得知他們的效果。而若要讓你的課程能夠成功,最有效的方法,就是從內部的企業文化開始做起。
在選擇訓練的傳達方式時,記得要能夠順應員工日常的作業習慣,否則他們很容易排斥你的課程規劃。當然,也要避免一次教太多的東西。
透過仔細的課程規劃,以及選擇能夠與現存程序完美整合的評量方式,相信貴公司(以及使用者)已經準備好面對接下來的挑戰了。
特約編輯David Bianco是技術安全顧問與訓練公司Vorant Network Security的總裁。若對本文有任何意見,請寄到iseditor@asmag.com。
資訊安全
安全意識
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話