在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。
過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。
企業員工會覺得資訊保安是資訊科技部門的責任,自己只是一個使用者身份,並不需要特別理會。但在資安世界,缺口往往不是在保安方案的軟硬件,也不是在資訊科技部門的人材不足,而是在於「人」。
使用者往往是資訊保安的潛在的一個隱患。駭客亦很明白這個道理,所以也會捨難取易,不會直接進攻企業的資安防禦工事,而是透過攻擊一般使用者身份的企業員工,從而取得存入權限,再進而進入企業的網絡裡作進一步的攻擊。
近年,尤其過去因疫情而令很多企業實行了在家工作的新工作常態,令同事間更依靠即時通訊軟件作為主要溝通方式,令Hacker更容易透過scamming或者social engineering的手法去騙取員工的資訊。
筆者早年就處理過一些企業被攻擊情況,手法多是在長假期的時候,透過即時通訊軟件、電子郵件假裝成是企業高層或直屬上司,託詞因為緊急狀況,不能使用原有的電郵或手機號,需要即時支援。這時候因為大家都不在公司範圍的機會很高,而「高層」的要求令員工亦不敢怠慢或者進一步詢問更多,往往給予了駭客可乘之機。
資安訓練的設立,就是令企業裡的每個員工都有一定的認知基準,更懂得提防和分辨可能是屬於駭客的攻擊,從而減低因使用者的失誤而打開了企業的資安缺口。
和一些企業管理層討論過,其中培訓課程的難處是很多公司會使用新入職員工需要完成E-learning的課程,但這些會比較依靠播放短片,做選擇題形式,未必有效評估到員工已經達成學習目標。或者公司內部培訓部或資訊科技部門兼任,但結果是同事並不珍惜培訓機會,甚至覺得浪費了他們半天或一天時間。
其建立一套資安訓練其實並不複雜,更多的企業會直接使用第三方的培訓機構。像筆者服務的第三方機構,會替客戶設計一套切合他們現有資安環境的課程,可能是三小時或者一天的課程,已經足夠將基礎的訓練透過講課、角色扮演、短片或案例分析,有效去傳遞資安概念,從而在短時間提升全公司的資安認知。而且使用第三培訓機構,員工的出席率和認真上課的狀況也有明顯的改善。
一個好的Awareness Training,絕對是企業資訊保安上不能忽略的。
英文版在領英:
https://www.linkedin.com/pulse/2024-01-08-importance-awareness-training-yuman-chau-mql8c