美国卡里,2024 年 5 月 28 日,CyberNewsWire
如果目前首席信息安全官(CISO)中流传着一个主题,那就是如何让利益相关者参与更强大的网络安全培训协议。
关于为什么应该为 IT 专业人员提供网络安全培训,存在一些关键的争论点,例如网络攻击的惊人增长(根据身份盗窃研究中心的 2023 年数据泄露报告,网络攻击比 2021 年的历史最高水平增长了 72%),或者技术的快速发展,创造了一场不断追赶的游戏。
但问题不在于某个组织“是否”会成为攻击目标,而是“何时”成为攻击目标。首席信息安全官们越来越焦虑,因为尽管他们意识到当不可避免的攻击发生时,他们将会面临损失,但在一个要求每花一美元就能获得收益的世界里,获得董事会对培训等预防措施的大量投资的支持是一项挑战。
全球网络安全培训和认证提供商 INE Security 的首席执行官 Dara Warn 表示:“获得董事会认可的途径比仅仅拥有纸面上的正确统计数据和研究更为复杂。为了弥合 CISO 和利益相关者之间的差距,CISO 必须采用一种结合财务影响数据、相关案例研究和令人信服的叙述的战略方法。将网络安全培训视为一项必不可少的投资而不是一项可选的开支至关重要。”
网络安全中的人为因素
网络安全不仅仅关乎技术,还关乎人。人为错误仍然是安全漏洞的主要原因之一。Verizon 在其 2023 年数据泄露调查报告中进行的一项研究发现,68% 的漏洞涉及人为因素,例如社交工程、滥用特权或简单的错误。这凸显了让员工掌握识别和应对潜在威胁的知识和技能的重要性。
案例研究:Capital One 数据泄露
2019 年,Capital One 遭遇数据泄露,超过 1 亿客户的个人信息被泄露。此次泄露是由配置错误的 Web 应用程序防火墙引起的,攻击者借此可以访问存储在 Amazon Web Services (AWS) 上的敏感数据。此次事件凸显了对员工进行云安全实践培训和正确配置安全工具的重要性。作为回应,Capital One 加强了其网络安全培训计划,将云安全纳入其中,并强调定期审核和配置检查的必要性。此案例说明了专业培训如何防止代价高昂的泄露并保护敏感数据。
网络安全培训的投资回报率
投资网络安全培训不仅仅是一种防御措施,它是一项可以产生可观回报的战略投资。训练有素的员工队伍(不仅是安全意识,还包括 SOC 和网络团队)可以作为抵御网络威胁的第一道防线,降低违规可能性并最大限度地减少潜在损失。根据 Ponemon Institute 的《2023 年数据泄露成本报告》,拥有广泛事件响应规划和测试计划的组织与水平较低的组织相比节省了 149 万美元。
案例研究:马士基 NotPetya 攻击
2017 年,航运巨头马士基遭受 NotPetya 恶意软件的攻击,该恶意软件在其全球网络中迅速传播,导致其 IT 系统完全瘫痪。此次攻击由受感染的软件更新引发,利用了糟糕的网络安全习惯和缺乏员工识别恶意软件的培训。此次事件给马士基造成了超过 3 亿美元的损失。作为应对措施,马士基实施了一项全面的网络安全培训计划,重点是识别恶意软件、保护软件更新和应对网络事件。此案例凸显了对员工进行最新网络威胁和最佳实践培训的必要性。
为董事会撰写引人入胜的叙述
保护公司的财务数据和案例研究很重要,但向董事会传达这些信息对 CISO 来说仍然是一项挑战。为了传达信息,CISO 还必须编写一个能引起董事会成员共鸣的引人入胜的故事。以下是一些关键策略:
1. 使用董事会的语言
董事会成员通常更关注财务指标和业务成果,而不是技术术语。首席信息安全官应将网络安全培训视为保护组织底线的业务推动因素。强调违规行为可能造成的财务损失和培训计划的投资回报率可以成为令人信服的理由。
2. 使用真实世界的例子
现实世界的案例研究,例如针对 Maersk NotPetya 和 Capital One 的攻击,可以说明网络安全培训的切实影响。这些例子提供了相关的场景,强调了投资员工教育的重要性。
3. 利用数据和统计数据
提供来自可靠来源的数据可以增加论点的可信度。显示人为错误在违规行为中的普遍性以及培训带来的经济效益的统计数据可以成为说服董事会的有力工具。
4. 强调监管合规性
GDPR 和 CCPA 等监管要求都要求采取严格的数据保护措施。不遵守规定可能会导致巨额罚款和声誉受损。强调网络安全培训如何帮助满足这些监管要求可能是确保董事会支持的有效角度。
5.突出竞争优势
在竞争日益激烈的市场中,强大的网络安全措施可以成为一种差异化因素。以强大的安全态势而闻名的公司更有可能吸引和留住客户。首席信息安全官可以强调全面的培训计划如何提高组织的声誉和竞争优势。
克服常见的反对意见
董事会成员可能会对网络安全培训所需的成本和时间提出异议。首席信息安全官应准备好利用数据驱动的论据和战略见解来解决这些问题。
成本问题
虽然培训项目的初始投资似乎很大,但首席信息安全官可以强调防止违规行为带来的长期成本节省。根据 Ponemon Institute 的数据,2023 年数据泄露的平均成本为 445 万美元。投资培训可以通过降低违规行为的可能性和严重程度来减轻这些成本。
时间限制
董事会成员可能会担心员工在培训上花费的时间。首席信息安全官可以倡导灵活的模块化培训计划,让员工按照自己的节奏学习,而不会影响工作效率。此外,强调有针对性的培训计划的效率可以减轻对时间投入的担忧。
CISO 是保护组织免受网络威胁的关键人物。让董事会同意投资网络安全培训并非易事,但利用其中一些策略可以使其更加成功。在向利益相关者传达您的需求的过程中包括这些步骤将有助于获得推出有效培训计划所需的支持和资源,并最终更好地保护组织的数字和实物资产。风险很高,让所有利益相关者加入同一个团队对于组织的长期成功和安全至关重要。
关于INE Security
INE Security 是领先的在线技术培训和网络安全认证提供商。INE 拥有世界上最强大的动手实验室平台、尖端技术、全球视频分发网络和世界一流的讲师,是全球财富 500 强企业以及希望提升职业生涯的 IT 专业人士的首选培训机构。INE 的一系列学习路径提供了网络安全、云、网络和数据科学领域无与伦比的专业知识深度。INE 致力于提供先进的技术培训,同时也为全球那些希望进入 IT 行业并在其中脱颖而出的人们降低门槛。
接触
新闻团队
国家能源公司
press@ine.com