引:如何教导员工一些关于计算机安全卫生的知识能帮助保护公司的知识资产
法规遵从性和数据漏洞的增长使各公司的安全意识培训计划势在必行。萨班斯·奥克斯利法案与健康保险便利和义务法案要求进行安全意识培训。这项要求涉及到承包人、卖主等――如那些为规范的公司提供服务的中小型企业。无论如何,教导员工一些关于计算机安全卫生的只是都是个好主意。它能帮助保护公司的知识资产,如果这些资产丢失,就足以导致一个没有能力保护自己的中小型企业的垮台。然而,不像它们为之提供服务的那些规范的公司,中小型企业没有庞大的预算和专门的培训部门人员。
着重点
有两点是中小型企业在安全意识培训进程中需要特别注意的。
第一点,对全公司都要教授一致的安全信息,中小型企业太小而不足以实行具有不同倾向的多种培训计划。并且,这项计划要由信息技术部门负责管理。
第二点,要谨记你的大部分电脑使用者并不是专门人员,培训应该简单且接近日常用户。
无论你的侧重点是什么,以下这些在每个计划中都是绝对必要的。
用户名和密码的处理
员工应该学会安全操作用户名和密码。比如,如何选取安全系数高的密码,不要将密码写在纸上或写在粘贴于显示器的便签上,更不要告诉任何人包括技术支援中心。
网络和邮件的使用
员工应该学会提防电子邮件的附件,特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。员工还需要知道公司对合理使用互联网和安全浏览的政策,在办公室的网络接入应该只能于业务用途。色情和赌博网站都会含有恶意程序。这些要在协商中解释以使员工们理解。
移动设备和便携式电脑安全
教导那些以便携式电脑为生经常出差的人如何防止在旅行中电脑被盗,要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。员工也要知道在办公室中USB接口和无线接入点能造成的威胁。应该教他们这些移动设备不能在工作中使用。
社会工程学
负责涉外的员工有可能被一些精于记诵的人欺骗,他们会用花言巧语诱骗这些员工透露公司的信息或者能够接入重要系统和资料数据的用户名和密码。教这些员工基本的职业诀窍以防止他们被骗。
应对突发事件
如果一个员工感到有些东西可疑或认为出现了漏洞,教给他们应对这些突发事件的程序。让他们知道该去找谁和怎么找。
美国国家标准与技术研究院发行了本极好的刊物,SP-800-50,上面提供了该如何策划安全意识培训的模版和指导。这份70页的文件有免费的PDF版可以在研究院的网站上找到。
内部培训、外部培训或网络培训
传统上,有三种途径策划安全意识培训:在公司内部寻找培训人员和培训部门,聘请外部培训公司或者依托网络、电脑进行培训。任何一种方案都会超出中小型企业的财力资源。
如此,能满足中小型企业想要提高员工信息安全意识到正常标准的途径是什么呢?有在传统三个方法的基础上加以少许改动的两条途径。中小型企业可以仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。另外,中小型企业还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。
如果你的信息技术部门能提供一两个人策划培训,一个内部特制的计划也是可行的。按照NIST的指导方针或其他材料,策划一天或半天的课程就足以使让员工认识到有关电脑安全的几点重要问题。
也有很多价格合理面向中小型企业的基于网络和电脑的培训。
Glenelg,Md的一家Native Intelligence公司出台了一个有趣的培训计划。这家公司提供网络培训,带有安全小提示的通讯和海报。所有材料都能够定制并印上你们公司的标识。Native Intelligence公司也对材料定期升级。这个程序能够指导谁完成了培训,以保证每个公司员工都真正接受了需要的安全培训。
UK-based Easy i公司提供相似的网络培训,他们可以定制培训以适应个别公司的需求。他们同样提供不需要定制的产品。The Security Awareness公司提供网络培训、视频教育、实况指导、角色扮演和仿真游戏。
最新奇的途径来自于国家安全研究院的"安全意识"。它以HTML格式向用户发送带有安全信息的电子邮件和会直接弹到员工桌面的弹出窗口。它宣传自己是最便宜的,培训五千名员工只需每年995美元。
不管你选择哪个计划,请确保它确实适合你的需求并能检验员工学习并完成了课程。通过这些途径,一个中小型企业就能达到安全意识培训的规格标准。(techtarget) |
