2021年7月28日,
- Gartner的客户吗?登录为个性化的搜索结果。
3行动帮助你培养更多网络安全精明的员工
贡献:杰基怀尔斯
你可以把你的员工变成网络安全的倡导者,但实际上只有在安全意识程序工作。支持你的行动这三个动作。
完成你最后的网络安全意识培训的职员有多少人?有多少点击您的测试网络钓鱼诱饵?大多数安全和风险领导人定期测试网络安全,可以报告这些指标,但这并不意味着他们实际上减少了他们组织的接触二氧化硫网络安全风险。
“你需要把员工变成控制检测和抵御社会工程攻击,但安全和风险领导人经常未能提供一个安全意识程序,产生有意义的员工行为的变化,”说威廉•CandrickGartner分析师主任,。
立即下载:3步骤来防止员工采取网络诱饵
网络犯罪已经成为社会工程的专家,使用日益复杂的技术诱使员工点击恶意链接。由安全领导向员工提供的信息和技术更好地抵御这些攻击。
远程工作只会增加风险的员工使用家庭网络和个人设备并对潜在威胁自己提前做决定。“坐在自己的办公室,员工再也不能随便把周边的同事,问一个电子邮件看起来真实,“Candrick说。
网络攻击越来越
Gartner调查的将近一半的董事在2020年网络安全作为一个顶级的风险来源对企业的价值。和风险只是增长。
最近行业研究证实,大流行鼓励网络罪犯增加使用经过验证的攻击策略:
- 美国经济数据泄露的平均成本从819万年的2019美元增加到864万年的2020美元。1
- 36%的数据泄露2020年涉及钓鱼和16%涉及偷来的凭证。2
- 一些人为因素参与违反的85%,而10% ransomware。2
- 平均ransomware Q121付款是220298美元。3
体积的攻击,人类允许这些攻击的关键作用,使它更加重要企业安全意识程序来传授知识测试和构建网络风险的员工理解。
但是,更重要的是,这些安全意识程序需要教和加强实践,使员工识别和应对可疑活动时,他们发现在他们的组织,与敏感数据避免犯错误。
立即下载:成熟的信息安全路线图
3行动加强安全意识程序的有效性
集中在三个关键组件的安全意识策略将有助于安全与风险管理领导确保他们适当地投资于安全意识程序,它们实际上是由员工改变用户的行为来减少风险。
这三个关键组件的安全意识的策略是:
行动1:设置愿景
首先建立愿景声明,列出了所需的安全行为和要求使组织实现其战略目标。
做一个跨职能工作小组组成的代表整个组织,包括核心业务线和支持功能。获得高级管理层的批准。
跨职能团队必须开发一个声明中,体现了“最终状态”或安全意识程序的愿望和整个组织应该产生共鸣,为员工提供一个切实的目标。
简单的例子包括语句如“我们的人民是我们的最大安全武器”或“我们有一个安全的劳动力。”
清晰的签名行为将展出如果组织实现了预期的安全意识终态。签名行为是那些明显反映出积极的意图和支持终端用户实现安全意识的愿景。
行动二:定义有形的、可测量的预期行为
任何企业安全意识程序的核心价值主张应塑造员工行为,减少安全事故的可能性和/或影响。Gartner提倡以成果为推动力指标(ODM)来表示一个操作和/或利益结果的行为陈述远景保持一致。
强制性检查结果指标完成率和知识通过标准报告可用在大多数安全意识基于计算机的培训平台。这些都是有用的措施有多少你的最终用户完成安全意识培训和是多么容易理解。
这是有用的信息,但并不意味着一个有效的安全意识程序,降低风险或提供其他切向商业利益。odm测量结果,可以绑回可衡量的利益保护。
行动3:行为与可衡量的业务效益
一旦odm被整理、链接这些见解高级领导真正关心的业务驱动因素。
首先测量二氧化硫网络风险的根源,将好处如果改进,例如,网络安全事件的数量由数据误用或人为错误引起的。这些指标应该改善随着时间的推移,如果你的意识程序有效地工作(如果没有,你知道改善)。
成果这些好处然后联系业务驱动和利益——这将在大多数组织相关收入/增长、成本管理、风险管理和品牌声誉。
1成本数据泄露的报告2020年,IBM的安全
Verizon 2021数据泄露的调查报告
3季度Ransomware Coveware报告
经验信息技术会议
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
*请注意,某些文件可能不会Gartner提供给所有客户。
Gartner使用< / >和< a href = " / en /关于/政策/隐私”目标= "平等" >隐私政策。< / > < / p >">
Log in to your account to access your research and tools." class="eloqua-text">
登录到您的帐户< / >,访问你的研究和工具。< / p >" class="optin-text">