WikiDer > Тренинг по информационной безопасности
Эта статья не цитировать любой источники. (июнь 2013) (Узнайте, как и когда удалить этот шаблон сообщения) |
Тренинг по информационной безопасности (ISAT) - это обучение, проводимое для членов организации в отношении защиты различных информационных активов этой организации. ISAT - это подмножество общих осведомленность о безопасности обучение персонала.
Четное малые и средние предприятия обычно рекомендуется проводить такое обучение, но организации, которые должны соблюдать государственные постановления (т. е. GLBA, PCI, HIPAA, Sarbox) обычно требуется формальный ISAT ежегодно для всех сотрудников.[1] Часто такое обучение проводится в форме онлайн-курсов.
Покрытие
Темы, освещенные в ISAT[нужна цитата] включают:
- Соответствующие методы защиты конфиденциальной информации о личных компьютер системы, в том числе политика паролей
- Различные проблемы компьютерной безопасности, в том числе спам, вредоносное ПО, фишинг, социальная инженерия, так далее.
- Последствия неспособности должным образом защитить информацию, включая потенциальную потерю работы, экономические последствия для фирмы, ущерб лицам, чьи личные данные разглашаются, а также возможные санкции гражданского и уголовного права.
Осведомленность о безопасности в Интернете означает, что вы понимаете, что есть люди, которые активно пытаются украсть данные, хранящиеся на компьютерах вашей организации. (При этом часто основное внимание уделяется именам пользователей и паролям, чтобы преступные элементы могли в конечном итоге получить доступ к банковским счетам и другим ценным ИТ-активам.) Вот почему важно защитить активы организации и предотвратить это.[2]
В соответствии с Microsoft[нужна цитата],
- Обучение конечных пользователей по безопасности в Интернете проводится на уровне политик, процедур и осведомленности модели безопасности «Глубокая защита».
- Осведомленность пользователей о безопасности может повлиять на все аспекты профиля безопасности организации.
- Осведомленность конечных пользователей о безопасности - важная часть комплексного профиля безопасности, поскольку для успеха многих типов атак требуется вмешательство человека (социальная инженерия).
Основное внимание ISAT уделяет немедленному и устойчивому изменению отношения сотрудников к Интернет-безопасности, давая понять, что политики безопасности и политики допустимого использования жизненно важны для выживания организации, а не как правила, ограничивающие эффективность сотрудников. на работе.
Обучение сотрудников вопросам безопасности - одно из наиболее эффективных средств снижения вероятности дорогостоящих ошибок при работе с конфиденциальной информацией и защите информационных систем компании.[нужна цитата] Обучение может проводиться разными способами, и одни подходы более эффективны, чем другие:
- Подход «ничего не делать»: организация не проводит тренингов по вопросам безопасности и полагается на автоматизированные системы для защиты от фишинга и вредоносных программ.
- Подход комнаты отдыха: сотрудники собираются во время обедов или встреч, и им говорят, на что следует обращать внимание, по электронной почте, при просмотре веб-страниц и т. Д.
- Подход с ежемесячной видеосвязью: сотрудникам показываются короткие видеоролики, в которых объясняется, как обеспечить безопасность и безопасность организации.
- В Тест на фишинг Подход: определенные сотрудники предварительно отбираются и отправляются симулированный фишинг атаки, ИТ определяет, стали ли они жертвами атаки, и эти сотрудники проходят обучение.
- Подход с использованием человеческого брандмауэра: все в организации проходят тестирование, определяется процент сотрудников, подверженных фишинговым атакам, а затем все обучаются основным направлениям атак. Имитация фишинговых атак регулярно рассылается всем сотрудникам.
Тренинг по вопросам безопасности может гарантировать, что персонал хорошо понимает методы и политику безопасности своего работодателя. Напротив, неосведомленный сотрудник уязвим для вредоносных программ, фишинговых атак и других форм социальной инженерии. Они могут нанести существенный вред системам организации и подвергнуть риску ее данные.[нужна цитата]
Ключевые аспекты любой программы повышения осведомленности обычно включают:[нужна цитата] следующее:
- Тренируйтесь на постоянной основе. Не ограничивайте обучение тем, когда сотрудника впервые нанимают или назначают на новую роль в организации.
- Тренируйтесь творчески, а не только в неинтерактивной обстановке класса.
- Ищите способы привнести интерактивность в тренировочный процесс.
- Иметь средства для измерения прогресса и процентной доли сотрудников, подверженных фишингу.
Смотрите также
- Контроль доступа
- Физическая охрана
- Безопасность
- Контроль безопасности
- Управление безопасностью
- Фишинг
- Социальная инженерия
Рекомендации
- ^ «Тренинг по информационной безопасности (ISAT)». Университет Вирджинии. Получено 4 ноября 2019.
- ^ Шарф, Элад (июль 2016 г.). «Обмен информацией: нормативные изменения в индустрии кибербезопасности после Brexit: как заставить работать обучение по вопросам безопасности». В области компьютерного мошенничества и безопасности. 7: 9–12.