【精益求精】5大要訣 提升企業網絡安全培訓效率
公司被黑客入侵,好多時都因為員工疏忽,錯誤開啟了電郵內的惡意連結或附件,不過在怪責他們的同時,企業管理者有否反思公司提供的網絡安全訓練是否足夠?內容能否吸引同事細心閱讀?記著以下 5 個要點,才可令同事在培訓課程時專心及上心。
有調查顯示,企業被入侵的原因九成出於員工誤開釣魚電郵,而且隨著疫情下在家工作 (Work From Home) 變得普及,員工在公司以外環境下工作,防禦力自然更薄弱,因此有必要提高員工的網絡安全意識,於源頭阻截惡意攻擊。不過,有企業管理者會懷疑,明明公司已提供各種網絡安全培訓,為什麼員工就是無法上心?歸根究底,問題可能出在培訓課程之上。不妨留意以下幾點,重新審視安全培訓課程內容,才能讓課程變得有效率及有意義。
1. 內容要專
一個優質的課程,內容必須夠專及到位,必須因應行業特性安排培訓內容,而不是隨便拿取網上的網絡安全培訓樣本使用,以金融業為例,同事可能須更注意各種合規要求,貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊,不能一概而論。
2. 真實事例
在準備培訓內容時,必須加入真實事例講解,以釣魚攻擊為例,如只告訴員工釣魚攻擊可令電腦中毒,員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段,例如會引誘員工開啟惡意附件,或預先架設一個虛假網站套取帳戶登入資料,員工才會理解如何防範。
3. 簡潔說明
這點不難理解,培訓課程的時間不應太長,解說亦要簡潔到位,員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素,自然更容易上心。
4. 高透明度
公司引入各種網絡安全守則及工具,雖然出發點是為了公司及員工著想,但始終會引來員工疑慮,擔心公司會以安全為名,實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料,讓員工清楚理解不會侵犯其私隱,員工才會樂於按照安全指引辦事。
5. 因人而異
每個同事對網絡安全的認知不一,因此培訓內容也要作出調校,企業管理者可安排員工接受安全測試,因應其安全意識分成不同的小組並提供合適的課程內容,這做法不單可找出高風險員工優先培訓,更不會因課程內容太深或太淺,令員工失去專注力。