首页 > 要闻 > > 正文
2019-06-03 16:07

“网络安全培训是否适合合适的人员

有很多关于网络安全意识的讨论。但有多少组织知道他们的网络安全培训要达到什么目的,更不用说它是否有效?

Shane Moffitt是维多利亚州政府的助理首席信息安全官(CISO),该组织拥有约311,000名员工。他负责实施该州的网络安全战略。

让人们离开工作岗位接受培训是昂贵的 - 比培训培训本身的成本贵得多 - 因此他希望获得最佳的投资回报。这意味着采取战略方针。

需要改变哪些行为以减少政府中央事件登记处记录和测量的事件数量?

一个明显的例子是修补。

“像许多大型企业一样,维多利亚州政府在信息通信技术资产管理和货币方面存在问题,并且在我们所谓的传统套件上保持最新状态,”Moffitt上周在澳大利亚黄金海岸举行的AusCERT网络安全会议上说。

“我们知道这会造成伤害。所以我们希望积极主动,让人们在伤害发生之前真正解决问题。”

Moffitt强调了修补他的技术工人的重要性,并计划最终推动所有澳大利亚信号局(ASD)Essential Eight网络安全战略贯穿整个维多利亚州的公共服务。

“然后我们确定了我们选择了错误的行为变化,”他说。

“我们采访了我们的ICT工作人员,我们去了'Patch。你知道你需要修补'。他们去了'是的我知道我们需要修补,但我不能。设备已经过时了。为什么设备过时了?因为我的主管不会给我钱升级它。'“

从高管的角度来看,更换传统设备似乎是一个糟糕的举措。他们不得不花费一些资金预算用于新套件,加上更多的运营预算,因为现在他们要再次修补,但运营结果没有变化。

所以培训策略发生了变化。管理人员接受了更好的风险评估培训,以及如何平衡网络风险与提供更好的政府服务的需求。

政府与已经开展网络风险培训的澳大利亚公司董事协会(AICD)合作。AICD可以更有效地完成这项工作,受训人员会为他们的简历带来一个可识别的项目。

政府还为高管制作了一个意识视频,戏剧化了拒绝预算取代遗留系统导致数据泄露,最终导致国家总理陷入媒体灾难的情景。

他们还在开发一个“ICT资产框架”来跟踪资产的货币,并提供这种可见性。

培训还更广泛地针对高管和公务员,以减少网络钓鱼的影响。

“登记显示,如果有人没有屈服于钓鱼骗局,我们所有事件中约有56%会被阻止。这太荒谬了,”莫菲特说。

“我们永远不会达到零。我们不希望它变为零。[但]我们有信心我们可以减少10%,或20%,或50%。这两项投资都是值得的。事件本身以及管理这些事件的成本。“

下一轮培训材料将描绘更广泛的员工,而不仅仅是办公室工作人员。

“穿着制服的人将自己与穿着西装的人分开表示。当我们发布办公室工作人员,护士或警察的视频时,他们立即脱离并与他们脱离关系,因此无法有效工作,”Moffitt说过。

相关推荐