选择安全意识培训服务商的几点标准
发布时间:2022-07-29 10:22:46 所属栏目:安全 来源:互联网
导读:对于IAM和端点安全产品,市场上已经有比较成熟的评估工具和方法。但是对于网络安全意识培训服务,这个过去非常边缘化不受重视的选装件,很多企业的安全管理者依然没有针对性的选型方法和标准。 事实上网络安全培训是一项非常系统和专业的服务,许多企业依靠
|
对于IAM和端点安全产品,市场上已经有比较成熟的评估工具和方法。但是对于网络安全意识培训服务,这个过去非常边缘化不受重视的“选装件”,很多企业的安全管理者依然没有针对性的选型方法和标准。 事实上网络安全培训是一项非常系统和专业的服务,许多企业依靠内部培训团队,但更多的企业则向外部供应商寻求帮助,因为安全威胁形势发展如此之快,最好的办法就是将培训交给掌握最新趋势的专家。 但是,寻找一个能力匹配、值得信赖并长期合作的安全意识培训合作伙伴并不容易。以下,我们汇总整理了优秀网络安全意识培训服务商的七个关键属性。  1. 与企业安全性原则的兼容性 管理咨询公司麦肯锡公司(McKinsey and Company)的专家助理合伙人查理·刘易斯(Charlie Lewis)说,安全意识培训取得长期成功的关键是找到符合您组织的安全需求、政策和目标的提供商。在联系供应商之前,有必要进行一些企业内部调研。他解释说:“安全意识培训产品应当成为好的网络安全文化、网络安全意识和安全变更管理计划有机组成部分。这三个因素也是安全意识培训选型和成功实施的关键条件。” 美国陆军网络领导力教育计划的制定者,美国军事学院前美国政治学助理教授刘易斯(Lewis)建议说,选择安全意识服务商需要达成内部共识,他说:“安全管理者需要与一线员工和业务负责人合作,以查看特定安全意识服务是否符合他们的需求和利益,这有助于确保选择正确的产品和服务。” 2. 参与能力 ISACA女性领导力咨询委员会的创始主席,澳大利亚家庭健康和高级护理服务提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray认为,安全意识培训必须与企业文化以及员工能力匹配,提高员工的参与度。她指出:“千篇一律的培训很难取得成功。培训必须针对企业及其偏爱的学习方式进行一些调整。” 商业咨询公司Capgemini 北美公司的网络培训主管Dan Callahan指出,了解受众的能力水平对于提供有效的,有针对性的培训是必要的。他说:“有些培训是补救性的,并且是由过于简单的内容驱动的,忽视了员工角色和安全技能的差异。”“安全意识培训的内容应当紧跟安全形势,同时与客户企业文化的相关性也很重要。” 3. 培训内容的针对性 德勤网络和战略风险部门的风险和财务顾问负责人沙龙·钱德(Sharon Chand)认为,安全意识培训一定要有针对性。“例如,内部员工和高管所采用的意识培训方法可能不同于承包商或第三方供应商”。类似的,培训特权访问IT员工的方法也与油田操作技术员工的培训有很大不同。她说:“我们发现,为独特的受众定制安全意识培训内容会大大提高效率。” 美国政府前任首席信息安全官,网络安全公司AppGate Federal总裁,卡内基梅隆大学亨氏信息系统与公共政策学院兼职教员Greg Touhill表示,要确定网络安全意识培训的内容价值,没有什么比实测评估更好。他说:“我真的很喜欢试用的形式,由随机的员工组成选型委员会参加竞标厂商的培训计划,进行试用,以评估他们的能力是否符合要求。” 4. 提供有效培训的能力 Chand指出:“在业务扩展、云计算、人工智能、机器学习、移动性和物联网的推动下,生态系统全球化为攻击者提供了更大的攻击面。有效的安全意识培训是应对这些挑战的最佳方法。” 为了评估特定安全意识培训产品或服务的潜在有效性,Stewart-Rattray建议将包括人力资源和其他相关部门负责人在内的关键利益相关者纳入决策过程。她说:“在评估产品的潜在有效性时,使用跨部门协作并确保关键利益相关者参与决策过程,并且在可能的情况下试用产品非常重要。” Lewis认为,概念验证(PoC)试验是在现实中检验安全意识培训服务有效性的绝佳方法:“随着时间的推移,您可能会开始看到阶段性的培训成果,例如恶意链接点击率的下降。”“您将需要在整个概念验证期间测量该指标,并连续评估该产品。” 如果产品或服务不符合预期,请告知供应商。Lewis建议:“如果该工具实际上并没有降低网络钓鱼的点击率或人为错误造成的风险,请与服务商合作调整培训节奏,如果所有方法均失败,那么请开始寻找其他供应商。” (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号