安永企管副總經理陳志明建議,企業推動資安意識計畫時,應先了解組織需求,再制定適合的教材及培訓形式,才容易讓員工有感,願意積極執行安全行為。

「資訊安全3大要素是人員、技術及流程,人員往往是最脆弱的一環。」安永企管副總經理陳志明直言。許多企業會推動資安意識計畫,希望強化員工資安意識,並協助他們實踐安全行為,來限制人為資安風險。不過,多年從事資安顧問的他指出,大多數資安意識計畫都不算成功,往往歸咎於3個原因:員工參與度低、受訓者無法持續實踐安全行為、課程沒有依照組織情況設計。

資安意識計畫失敗的三大原因

陳志明進一步說明這3個問題。首先是員工參與積極度過低。他觀察,企業制定資安意識計畫時,常過度聚焦於公司政策,沒有告訴培訓對象,這些安全行為如何使自己或所屬部門受益。無法體會資安重要性,企業員工便不會積極參與。

第2個常見問題是,將資安培訓視為一次性練習,員工不會將安全行為納入工作習慣。許多企業進行員工資安培訓時,只會重複使用主題和測驗方法一成不變的線上課程,讓員工逐漸失去興趣。甚至會演變成,員工開始流傳課程測驗答案,培訓時任由影片播完,待測驗時照抄答案交差了事。

第3個問題是,企業擬定資安意識培訓計畫時,常因法規或公司政策規定要有資安培訓內容,便匆匆找來講師或線上課程,讓相關人員參與。由於沒有針對自身業務環境和面臨威脅來選擇培訓教材。培訓後,仍難以看見課程對企業帶來哪些具體成效。

如何避免這些問題,陳志明建議,首先,資安培訓不能只是一次性進修或考試,還要為受訓者訂定日常安全行為的執行標準。再來,執行計畫前,承辦人員應分析不同受訓者的業務如何受益於安全行為,與講師積極溝通培訓內容,量身打造溝通方法與教材。例如,若欲對高階主管傳達特定觀念,甚至希望引導高階主管加碼投資資安,承辦人員都應與講師協調。

至於如何決定培訓受眾,陳志明強調,除了企業內部人員,企業會接觸到的利害關係方,例如合作廠商、客戶、主管機關、會計師、律師等,也必須納入資安意識計畫,培養出相對應的資安意識及程序。

資安意識計畫另一項重點是,要有明確培訓目標,才能引起參與人員學習動機。陳志明舉例,他曾替一家國內企業授課,培訓一開始就表明,結束後會替企業選拔資安長,資安長還得在一定時限內提出公司資安藍圖,向總經理匯報。有了明確目標和時限,學員不僅積極學習,還會主動思考自己需要哪些知識來達成目標,積極請教講師。

資安培訓應因才施教,採用多元培訓模式

陳志明表示,既然要根據不同受訓者設計不同課程,承辦人員設計教材時,也需要綜合使用不同培訓工具和模式。根據形式和對象,他提出5種可混搭的訓練模式,包括了數位課程、釣魚攻擊演練、駭客實際演練、駭客工具展現、及遊戲化訓練等。

數位課程是最通用且常用的形式,陳志明認為,數位課程固然簡單好用,但課程主題跟測驗方法要力求多元,避免變成員工只想背測驗答案,應付了事。

釣魚攻擊演練則是由培訓方對員工進行釣魚攻擊,來提升員工對此類攻擊的戒心。陳志明建議,攻擊方可以多種攻擊型態並用,例如電子郵件、語音呼叫、文字簡訊,也要捕鯨和魚叉式攻擊並用。這樣一來,才能更好模擬駭客多樣化的攻擊手法。

駭客實際演練是請道德駭客扮演攻擊者和受害者,直接展現駭客如何輕易突破人和系統漏洞,再回顧駭客攻擊步驟,說明駭客思維及防禦方法。陳志明說,實際演練過程能引導受訓者思考如何應對,同時能產生一定震撼,加深印象。

駭客工具展現則是各種駭客工具,例如惡意充電線、感染USB、Proxmark IC卡破解器、RFID複製卡等,用電腦以外的呈現媒介來刺激受訓者好奇心,同時意識到資訊安全不只是政策和培訓,而是真實會發生於生活中的議題。

最後一種,陳志明建議,遊戲化訓練模式可以參考商業遊戲、網路戰爭(紅藍隊演練)遊戲、密室逃脫等遊戲形式,分別針對高階主管、資安人員及一般人員,將他們置於特定情境中,要求在時限內做出資安相關決策。商業遊戲強調業務目標與資運安全的交集,意圖使玩家能從企業營運角度來思考資安重要性;網路戰爭遊戲能訓練資安人員危機處理能力;密室逃脫則是將資安事件跟意識融入團隊遊戲中,以遊戲和團隊合作的形式來嘗試提升員工參與度。陳志明表示,遊戲化訓練雖然需要投入更多資源來設計教材,但跳脫了教條式教學形式,讓學員沉浸在情境中思考如何行動,因此通常教學成果會較好。

 相關報導 

熱門新聞

Advertisement