各公司陆续制定安全意识培训计划日期:2011-3-18作者:RobertWestervelt翻译:Sean来源:TechTarget中国我要评论英文大|中|小投稿打印关键词:安全意识培训数据安全漏洞企业安全【TechTarget中国原创】越来越多的公司开始对用户进行安全意识培训,从而提高软件质量,降低终端雇员的错误率。加速这种趋势的原因是,许多企业都要求雇佣的软件公司能够遵守更严格的安全标准。此外,越来越多的企业意识到,雇员的错误可能导致高额的罚款,甚至导致数据安全漏洞。波士顿一家卫生保健公司发现自身有多处违反HIPAA标准的地方。几天后,公司的高管决定投资为雇员进行加强安全意识的培训。与此同时,一家明尼苏达州销售生产率软件(productivitysoftware)的公司为其众多的软件开发人员进行了安全培训。这两家公司都是受外部因素的影响开始进行培训项目:审计失败,且用户的需求在增长。据专家和分析师分析,安全意识培训将会越来越普遍。Safelight安全顾问公司的创始人兼CEORobCheyne说,失败的审计、数据漏洞以及其他对知识产权和敏感数据产生危险的因素令企业不得不加强员工的安全意识。“你不可能依靠技术解决所有的安全问题,”Cheyne说,“主动进行安全教育,可以使员工意识到他们在保护公司安全的过程中扮演着极其重要的角色。”Safelight公司在上月举行的2011RSA会议上推出了他们的安全教育蓝图(SecurityEducationBlueprint),帮助企业在内部评估不同小组的风险状况,满足对雇员进行必要的安全教育的需要,Cheyne解释道。尽管Cheyne提供的培训计划能服务于最终用户和IT企业,但他说他最大的乐趣还是在于教授软件开发者安全编程的基本知识。“你将会有多次恍然大悟的感觉——‘啊,原来是这样’,”Cheyne说。他表示,很多时候,一个公司的最大弱点不是最终用户,而是经理和业务主管,他们是最需要接受安全培训的人。“企业需要的安全培训方式是,培训(方式)能令员工和业务过程与其他员工或业务产生互动,”Cheyne说道,“企业里面的每一个人都有相应的职责。”MichaelKaiser是非营利性组织国家网络安全联盟(NationalCyberSecurityAlliance)的执行主席,该组织每年都会举办网络安全意识宣传月活动。他说,人们的安全意识在不断提高;技术在保护珍贵资产方面的作用是有限的。该组织发起了主题为“停下,思考,连接”的活动,主要面向消费者,但是国土安全部也利用这一活动宣传联邦级别的安全。“我们确实正在合作,以期我们的主题思想能够被广泛接受,”Kaiser表示,“这需要时间,但有希望的是,随着时间的推移,企业、非盈利组织、政府机构及其他组织都会使用这个思想。它将成为公众意识的一部分。”安全软件发展的进步为安全业带来了希望,GaryMcGraw这样说道。他是来自华盛顿特区的软件安全咨询公司Cigital的首席技术官。McGraw说,大型企业更愿意公开分享他们的安全软件开发进展,这样小型公司能够利用这些资源。他负责了BuildingSecurityInMaturityModel(建立安全成熟度模型)项目的研究工作,该研究由进40家大型企业倡议进行。McGrwa和SammyMigues,是Cigital培训和教育部门的主管,BrianChess则来自加利福尼亚州圣马特奥市的软件安全保险供应商Fortify软件公司。他们进行了大量的采访,找出了长期有效的安全工作流程。“我们访谈的所有公司都在软件安全过程的客观测量方面进步明显,”McGraw说,“你可能会乐于见到企业行动起来并承担责任。我认为以后我们会看到更多(进步)。”企业员工安全意识培训正蓬勃发展日期:2014-11-12作者:BrandanBlevins翻译:邹铮来源:TechTarget中国我要评论英文大|中|小投稿打印关键词:企业员工安全意识安全行业培训Gartner安全意识【TechTarget中国原创】企业员工安全意识培训一直被认为是合规性的可选活动,但并不一定是保护企业资产的有效策略。然而,在充满质量安全意识培训产品的竞争激烈的市场,一位专家称,企业安全管理人员应该重新思考他们对用户意识培训的看法。研究公司Gartner这个月发布了第一个安全意识培训供应商魔力象限,该报告分析了来自19个最大安全意识培训供应商的产品。重量级供应商WombatSecurityTechnologies、FishNetSecurity和SANSInstitute都榜上有名,还有令人惊讶的大批初创培训机构。总而言之,该Gartner报告中的供应商的总体年收入约为6.5亿美元。该报告作者同时也是Gartner研究副总裁AndrewWalls表示,在这个Gartner研究中不能看到的是,成千上万的利基培训供应商,这些供应商在适当的情况下可以像大型供应商一样提供有用的产品。例如,如果一家小型培训供应商旨在美国辛辛那提地区运营,并且其客户好评如潮,辛辛那提的企业应该考虑这家本地供应商是否满足其企业的需求。Walls表示,“他们没有在俄亥俄州之外提供培训服务其实并不重要。”他指出,世界各地有很多这样的供应商,他们仅在一个地区提供培训服务,例如北京或者伦敦,或者有的供应商近提供特定语言的安全意识培训,这在印度这样的国家就很普遍。当同时考虑这些大型和小型供应商时,其结果是,这个培训市场的年收入已经超过10亿美元,并且根据有限的市场数据,这个市场每年大约增长13%。安全意识培训拐角Walls承认,尽管长期以来很多企业认为员工意识培训根本没有作用,但安全意识培训市场正在蓬勃发展。他表示,这种态度在很大程度上是源于企业过去的错误,企业通常利用内部安全团队来制定安全培训计划。虽然来自内部安全专家的意见对于高质量培训很重要,但Walls称,这种DIY培训课程往往没有包含关键因素:教学设计人员和其他培训专家。“有效的教育并不是简单的事情,这需要非常了解你的受众,以及你如何衡量教学成效,”Walls表示,“在这个行业中,在安全教育的历史完全忽略了这些,它并没有担心效果;并没有考虑这是否有效。”“从而导致大家普遍认为,安全培训并不值得花时间和金钱,”Walls继续说道,“这是责备工具的经典综合征,错在于你,而不是受众。”安全意识培训:不只是为了合规尽管如此,现在越来越多的企业正在转向安全培训来解决各种安全和业务问题。原因之一在于,在企业环境中,携带自己设备到工作场所(BYOD)趋势的日益流行让设备可以绕过或者无视很多企业用于保护台式机和笔记本电脑的经过检验而可靠的技术控制。这样一来,攻击者和敏感企业数据之间的唯一障碍可能是企业对使用BYOD手机的安全最佳做法的知识。Walls认为,另一个因素是影响着各种规模和各行各业的企业的数据泄露事故浪潮。面对数据泄露事故问题,企业可以部署尽可能多的技术,但如果员工仍然会打开钓鱼邮件,培训就成为一种必然。Walls表示,企业还关注数据泄露事故相关的“声誉问题”。例如,在零售商Target和HomeDepot公司遭遇大规模数据泄露事故后,这两家公司饱受批评,有消息称这两家公司的安全程序都存在严重的人员和技术失误。在看到这样的数据泄露事故时,企业通常担心面对来自客户和股东的类似批评—关于员工没有受到适当的培训。Walls表示:“企业想要能够证明他们已经教授其员工所有这些内容,以及员工具有相关技能。”选择安全意识培训供应商面对市场中数以千计的安全意识培训供应商,以及进入Gartner魔力象限的近20家供应商,企业可能想知道哪家最好。尽管Gartner魔力象限将某些供应商标注为“领导者”或者“远见者”,Walls强调,对于培训,并没有“最佳供应商”,只有满足具体要求的合适的供应商。Walls表示,企业必须认识到,从性质来看,安全培训应该对目标受众进行定制化。客户服务员工可能适合一年两次的基于计算机的培训模式,而首席执行官和其他高管则更适合通过其他培训方法获取知识。考虑到这一点,Walls建议,企业应该看看哪些供应商提供特定主题的培训(可以是针对特定行业,或者特定监管要求,例如HIPAA或者反钓鱼),然后苹果可用的培训模式来确定是否满足企业员工培训需求。“这可能是具有高互动性的过程,供应商可能会送他们一本书,但企业必须要自己进行分析,”Walls指出,很多他知道的企业选择多个供应商来满足不同的需求。“如果你是在印度尼西亚和新泽西州运营的跨国企业,你不能给每个人都安排相同的培训。”除了事前评估企业的需求,在选择培训供应商需要考虑的另一个重要因素是提供的评估服务。有些供应商可能提供简短培训视频,紧接着是一个测试来帮助企业遵守法律法规,但Walls强调这些方法并不能提高企业的安全态势。企业应该确定培训供应商提供持续的评估服务。Walls表示,反钓鱼供应商(例如Wombat、PhishMe和PhishLine)在近年来颇为流行,不仅因为网络钓鱼攻击给企业构成巨大威胁,而且因为这些供应商客户真正证明钓鱼预防培训服务的有效性。“他们会发送附有连接的邮件给你,如果你点击它,你就要继续回去参加辅导培训,”Walls表示,“持续的评估构建在员工实际操作的根本性质中。”Walls预计,在未来几年我们会看到较大型培训供应商之间的大量整合。有些较大型安全供应商会考虑进行收购,以整合安全意识培训到更大的产品组合中,而PhishMe和Wombat等供应商已经与其他安全公司建立了合作伙伴关系。他补充说,反钓鱼供应商可能会受到影响,因为其产品的独特性被削弱。Walls总结道,未来市场整合活动对于行业是利好消息,因为培训会被视为合法的必须具备的企业安全工具。“如果你不让员工了解你的政策,你不要指望他们会遵循政策,”Walls表示,“企业应该将其视为基本要素,就像在台式机部署反恶意软件。”