我正在寻找一个要求所有员工每年接受一小时在线网络安全培训的组织(观看视频并参加测验,显然是使用SANS 的最终用户安全意识培训建立的)。
是否有任何证据表明这是否有效以及效果如何?例如,是否有任何衡量或估计这种在线网络安全意识培训在多大程度上减少了安全事件,或以其他可衡量的方式改善了结果?是否应该期望看到安全妥协减少 5%?减少50%?0% 减少?
我确实检查了 SANS 的Securing the Human网站,认为如果有任何证据或定量数据,他们会在显眼的地方显示出来,但他们似乎什么也没说。
每年 1 小时的在线系列视频对用户行为的影响非常低(行业统计数据是 0-5% 的行为变化——也许统计上不显着)。在训练后的几天内,依从性会更高,但很快就会下降。这种类型的培训需要与其他支持相结合才能看到结果,但是在这种培训的某些补充下,有可能看到高达 70% 的积极结果(持续采用有针对性的行为)。重复培训、支持和跟进可能比知识转移本身更重要。
至于补充,最有效的方法包括定期提示行为和向用户提供关于所呈现行为的正确性的即时反馈。最常见的形式是模拟网络钓鱼,但它可以包括组织希望看到的任何行为。
在一些网络钓鱼模拟程序中,研究表明点击电子邮件中链接的用户减少了高达 70%。这通常需要定期测试,随着时间的推移,用户会慢慢学会做什么。关键是规律性和即时反馈。
同样的方法可以用于密码策略、尾随、锁定计算机、事件报告、USB 设备处理等。
意识就是意识。知识转移就是知识转移。但行为改变是另一回事。它从知识开始(有时),但随后需要转变为行动。这不能用 5 分钟的视频来完成。
(我正在写一本关于这个主题的书)