https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

迎接混合工作模式,企業內部資安訓練扮演關鍵角色

2021 / 11 / 15
投稿文/ Zoom 資訊安全長 Jason Lee
迎接混合工作模式,企業內部資安訓練扮演關鍵角色
隨著世界邁入全新的混合工作時代,愈來愈多企業希望執行和擁抱一個嶄新的運作模式,設計一套同時具備彈性且兼具效率的資訊安全策略,保障隨處工作型勞動力。因此,企業的資訊安全負責人需根據每一位員工可能遇到的不同變數,量身打造一套訓練課程,並將課程內容著重在未來混合工作模式型態下可能發生的實際情境。

IBM 2021 X-Force 威脅情報指數  (IBM 2021 X-Force Threat Intelligence Index) 報告指出,網路攻擊事件有 95% 是人為錯誤所造成。為了避免這類型的攻擊事件重覆地發生,影響組織能順利運作,資安方面的員工訓練不可或缺。

企業內部的資安訓練不僅能在現今錯綜複雜的網路威脅環境下為終端使用者建立起危機意識,並讓他們了解自身在其中所扮演的角色以及自身行爲與整體組織安全狀態的直接關聯性。企業組織可藉此來鼓勵員工建立責任感和釐清責任歸屬。

適用於混合工作型態的資安防禦小撇步

除了員工需要持續地學習如何偵測威脅及使用最佳資料儲存方式確保資料安全性外,IT 負責人亦需針對混合式工作團隊的需求設計資安相關課程。企業內部資安訓練需要輔導員工如何正確使用科技畢竟若缺少可協助員工在任何地點執行工作的科技工具,即無法實現混合工作模式。企業應採用使用者友善的解決方案,讓員工可以在日常工作中更直覺地有效控制所有相關工具,並安排相對應的培訓課程。

除了科技輔導課程,以「情境為主的威脅意識」也是不可輕忽的一環。IT 也需針對分散式工作團隊設計不同的情境訓練,透過課程讓員工學會應對進出辦公室、在工作場所以及在家工作等不同情境下所面臨的威脅。這些攻擊情境包含:越肩偷窺(Shoulder surfing)、商務電子郵件入侵(Business email compromise)、誘導性攻擊(Elicitation)、密碼暴力破解(Brute-force password attacks)與釣魚式攻擊(Phishing schemes)。

訓練的最終目的是讓員工留下深刻的印象,而非成為讓員工感到有負擔的季度作業。舉例來說,Zoom 會發放「居家安全工作最佳做法」檢核表,並在每個年度實施員工安全訓練,像是上述提及的情境式訓練也包含在其中。為了讓員工可以在安全的環境中練習辨識並舉報釣魚電子郵件,Zoom 在每個月進行模擬攻擊以及追蹤員工的學習進度,真實的呈現受到釣魚攻擊威脅時的狀況。

結合訓練與科技的優勢

隨著企業領導者開始傾向推行混合工作模式,「公司資料」、「設備」以及「身分識別與權限管理」是企業要掌控資訊安全性的三大項目。混合式工作團隊中最大的變異來自於「人」,然而這個變異同時可能是公司潛在的巨大威脅,卻也有可能是前所未見的強大競爭優勢。因此,主管如何針對「人」所帶來的變數調整策略,是在當今複雜的威脅局勢下取得成功的關鍵。

一旦具備了足以支持工作團隊的精準訓練與技術組合,混合工作模式將不再只是大家腦中的憑空想像,而是可以為組織提高靈活性、效率與安全性,且實現永續發展的基石。

本文為投稿文章,不代表社方立場。