市場趨勢
讓員工與您一同為企業築起防線
當資安變成文化-由員工築起的多道防線
報告類型
發布日期
2024/10/16
根據Proofpoint調查,超過98%的企業透過演練或教育訓練等方式安排資安意識培訓,企業普遍知道資安意識的重要性,並期望藉此降低釣魚信件點擊率,防範社交工程攻擊。然而,許多企業並不清楚,正確安排資安意識培訓並將資安融入企業文化,不只能提升員工資安意識,還能讓他們成為資安防線的一份子,築起多道額外防線,保護其他員工並補強其他防禦系統,完善資安聯防。
資安意識培訓應關注哪些員工?
傳統的資安意識培訓通常會針對全公司進行教育訓練,並重點關注「社交工程演練」上鉤員工的釣魚信點閱率改善狀況。例如,若有10人收到釣魚信件,1人回報給資安團隊,6人忽略信件,3人點擊釣魚信,公司通常會重點關注3位上鉤員工的資安意識改善狀況,期望降低未來釣魚信件的點擊率。
然而,投入大量資源進行教育訓練,卻僅關注明顯缺乏資安意識的少數人,成本效益較低。而這些員工資安意識不一定能顯著提升,下次仍有可能再次中招。同時,這次未上鉤的員工,也未必總會保持警覺,導致越來越多人質疑資安演練的有效性。我們應重新思考資安意識培訓的目標,是為了「防範社交工程攻擊」,而非降低釣魚點擊率就好。若我們改變訓練方針,關注員工是否回報釣魚訊息,對於多數未上鉤的員工來說,訓練課程將不再事不關己,而公司內每多一位會回報威脅的員工,就相當於多了一個偵測威脅的節點,保護其他會上鉤的人。
讓回報威脅成為資安文化,完善資安防線
每個人都有不同的專業背景,面對各類威脅時也會有不同反應,即使具備充足的資安意識也不可能永遠保持警戒,這正如「乳酪理論」中所說,每片乳酪都有大小不一的空洞。這也是現今資安防護策略強調「偵測與回應」(Detect and Respond)的原因之一,儘管每個節點都有所侷限,但可以互相支援,隨著節點數量增加,防護也會更加全面。當舉報威脅成為企業資安文化時,隨著人人參與聯防,透過舉報互相支援,乳酪的孔洞(即人的弱點)連成一條線的機率將大幅越低,風險也會隨之減少。
全員參與聯防並主動舉報威脅,不僅能將潛在風險降至最低,還能幫助企業獲取真實的威脅樣板。除了可以再結合資安意識培訓,進一步提升全體員工抵禦新興威脅的能力,亦能延伸運用這些威脅情資,補強其餘企業資安系統。當防線逐步加強,威脅繞過所有員工防線的難度也會隨之提升,進一步強化企業整體資安防護力!
延伸閱讀:
我想了解......
我想了解如何應對新興資安挑戰,請業務提供相關資料或安排拜訪。