网络安全培训 _ 电子书

专家观点 网络安全培训 内容 03Introduction 第1部分：建立具有网络安全意识的员工队伍 05网络安全培训如何保护您的组织，即使在违约后 罗伯特·W·安德森和埃里克·B·莱文|合伙人|林德布里、麦考密克、埃斯塔布鲁克& 库珀，P.C. 07L&D如何发展网络感知和网络安全的组织文化 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 10行政网络培训：从意识到行动 少将（Ret。）布雷特·威廉姆斯|联合创始人|IronNetCybersecurity 13建立“人类防火墙”：有效的网络安全意识培训 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 164种方法让新员工加快网络安全 JeffPeters|产品营销经理|InfosecInstitute 18在工作场所发展网络安全素养 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 第2部分：网络安全角色的技能提升和重新技能技术专业人员 21通过学习和发展实现网络安全劳动力的多样化 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 24网络安全人才流失 AlisonNapolitano|社区关系经理|UNCKenan-Flagler商学院 27解决网络安全劳动力短缺：这是一种紧急状态 SusanMorris|高级副总裁|高级商业学习公司. 29严肃主题的严肃游戏：使用AI驱动的游戏培训网络安全专业人员 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 32确保更美好的未来：数字化转型和网络安全 DanPeace|Blogger 35缩小差距：利用培训缓解网络安全技能短缺 ZviGuterman|首席执行官|CloudShare 39利用人工智能加强网络安全训练 RishiBhargava|联合创始人|Demisto 42为什么网络安全培训的资金正在增长 TarynOesch,CPTM|数字内容管理编辑|TrainingIndustry,Inc. 44其他资源 INTRODUCTION 网络安全培训专家观点|2020 3 培训如何保护您的企业安全 只要犯罪分子能够入侵，组织的数据和信息技术（IT）系统的安全性就一直是人们关注的问题。但是随着COVID-19导致在家工作的大幅增加，网络安全变得更加 比以往任何时候都重要。2020年3月，IBM专家报告与大流行相关的垃圾邮件活动增加了14,000％。 为了打击网络犯罪并保护公司的知识产权-更不用说您可能以电子方式存储的任何客户或员工信息-确保您的IT团队接受过预防和应对网络犯罪的培训，并且您的所有员工都具有避免网络钓鱼和恶意软件等攻击所必需的基本网络安全意识，这一点至关重要。 为了帮助您完成此任务，我们收集了TrainingIndustry.com的一系列文章。在过去几年中发布，它们代表了从事网络安全培训的一些最聪明的人，并在以下主题上提炼出有价值的提示和策略： •网络安全意识和素养。 •提升和重新培训IT专业人员的网络安全角色。 •让新员工加快网络安全主题。 •网络安全在数字化转型中的作用。 •创新的网络安全培训方式和方法。 与往常一样，我们很想听听您对这些资源的看法。请随时发送电子邮件至editor@trainingindustry.com，分享您的想法。 肯·泰勒 培训工业公司总裁. PART1 建立网络安全意识工作者 网络安全培训如何保护您的组织，即使在违约后 RobertW.Anderson和EricB.Levine是Lindabury、McCormick、Estabrook&Cooper,P.C.的合伙人，也是公司网络安全和数据隐私业务的联合主席。Lindabury总部位于新泽西州韦斯特菲尔德，为整个大西洋中部地区的客户提供服务。 如果您尚未考虑公司的网络安全问题，则应该考虑。无论您的组织规模或行业如何，网络犯罪都可能是公司可以采取的最重要的步骤之一是定期对员工进行适当的网络安全培训 实践和协议，以及测试其IT系统，以了解其网络安全防御弱点和漏洞存在的地方。 企业需要评估自己的网络安全风险，并公开交换内部信息，以有效解决和减轻实际的违规情况。然而，具有讽刺意味的是，一家公司对自身弱点和网络安全保护漏洞的内部评估实际上会使公司在未来的安全漏洞诉讼中面临更大的危险。一家公司关于其网络安全弱点的诚信内部报告可能会承认，它发现其对个人和机密数据的网络安全保护是不够的。同样，重要的是，在应对网络漏洞的过程中，公司人员必须迅速自由地交换与漏洞危机相关的信息，而不必过分担心这些信息的披露在未来的诉讼发现程序中的表现。 公司可以采取的最重要步骤之一是定期对员工进行适当的网络安全实践培训。 公司的法律顾问参与网络安全风险评估和违规响应的所有重要方面至关重要，因为参与可以根据律师-客户特权原则为公司提供保护。律师-客户特权保护律师及其客户之间与法律咨询请求有关的机密通信的未来披露。为了申请律师-客户特权，律师必须参与其中，并且是通信的核心。律师-客户特权可以保护与网络安全风险调查有关的通信，这在网络漏洞引起的未来诉讼的背景下尤其重要。 网络安全培训如何保护您的组织，即使在违约后 作为人力资源或L&D领导者，您负责定期进行员工培训和监督员工活动。因此，重要的是要确保您的组织定期进行网络安全培训，并且培训包括以下主题：保护移动设备；远程员工的数据保护；密码保护 ；并识别常见的网络威胁，如社交工程，网络钓鱼和勒索软件。网络安全培训还应包括对员工怀疑已尝试或成功进行网络攻击时需要遵循的程序的解释。 围绕每个人都在维护网络安全工作场所方面发挥作用的信念，设计您的网络安全培训计划。强制所有培训，并确保出勤证明成为员工人事档案的一部分。这样做将确保员工教育是最新的，同时也创造了合理培训的记录，作为证据 ，支持贵公司在违规事件发生后可能遭受的任何诉讼辩护。维护此类记录也可能是您公司可能持有的任何网络保险单的条件。 围绕每个人都在维护网络安全方面发挥作用的信念，设计您的网络安全培训计划。 通过向新员工提供所有数据隐私政策和程序，在入职过程中开始数据隐私培训。重要的是鼓励员工从就业的第一天起就及时了解任何可能的通知 数据泄露至关重要，尽管必须报告所有数据隐私事件，但仍会发生无辜的错误。尽管您可以对员工违反数据隐私协议的行为进行纪律处分，但重要的是要营造一个环境，使员工可以自由报告问题，并且不必担心此类报告的报应。 探索我们的持续专业发展计划目录。 L&D如何发展网络感知和网络安全的组织文化 TarynOesch是TrainingIndustry，Inc.屡获殊荣的数字内容执行编辑，也是培训行业播客TheBusinessofLearning的联合主持人。 根据McAfee最近的一份报告，网络犯罪给全球经济带来的成本已从2014年的5000亿美元增加到2018年的6000亿美元。由于对组织网络安全的最大威胁是其人员，因此学习型领导者是创建更安全和具有网络意识的组织的关键。 教育是防止黑客和其他网络犯罪打击组织的最佳方法之一。专家建议进行提高认识和培训，而不是使用一次性的有针对性的课程。这是MediaPRO的新SaaS平台LearigLAB的目标，该平台可帮助组织创建和提供针对其员工量身定制的全面意识计划。“网络安全和隐私风险存在于各种规模的企业中，”MediaPRO安全，隐私和合规首席策略师TomPedergast说。“我们已经建立了一个全年计划，包括风险评估、网络钓鱼培训和强化。LearigLAB将使用户能够为平台打上品牌，并根据他们的公司需求决定内容类型和交付频率。 让网络安全培训更具吸引力 合规培训因无聊而臭名昭著-或者至少因为拥有这种声誉。“没有多少人对网络安全和隐私着迷，”Pendergast说。“建立风险意识文化的一部分是克服人们的不情愿或培训疲劳。” 建立风险意识文化的一部分是克服人们的不情愿或训练疲劳。 MediaPRO电子学习、设计和开发总监ColleeHber说，使培训具有相关性也很重要。员工经常认为网络安全和隐私是“一项IT工作，而事实上它是IT，是首席执行官，每个人都是在收银台拿信用卡的人。“对不同的角色进行个性化培训，并帮助每个部门，各个级别的员工了解”，只需要一个人的失误就可以造成事故。." Pendergast建议使用微学习和“各种不同的通信技术”以及隐喻来帮助非技术员工理解技术内容。例如 ，MediaPRO在虚拟专用网络（VPN）上创建了一个视频，将它们与安全的桥梁进行比较，这些桥梁将旅客安全地运送到危险的海上。 Teramind的创始人兼首席执行官IsaacKohen写道，缺乏定期，引人入胜的培训“可能是员工缺乏同理心的最大指标。”他建议“一种解决方案，包括简短的，一口大小的通信，交互式挑战（如网络钓鱼模拟）和失误后的实时指导。” IronNetCybersecurity的联合创始人BrettWilliams写道：“定期培训至关重要。技术每天都在变化。这些变化带来了巨大的机会，但也带来了更大的风险。通过基于Web的简短更新，“棕色包”讨论或小型研讨会来保持每个人的最新状态，都可以确保您的公司在网络空间时代发展和繁荣。” L&D如何引领潮流 Pendergast指出，IT，法律和其他高管通常没有L＆D领导者对成人学习原则的理解。这就是为什么对于学习型领导者来说，与负责网络安全的高管合作，使用间隔重复等概念来提高他们的意识努力非常重要。 在整个人才管理和开发过程中灌输安全实践是L&D在创建网络安全文化方面引领变革的另一种方式。 例如，信贷联盟PSCU的首席信息安全策略师GeneFredriksen建议将安全性作为每位员工绩效评估的一部分。“在您可以实施的所有计划中，以提高您的安全性 他补充说，“没有什么比培训和文化意识更有投资回报的了。” 在整个人才管理和开发过程中灌输安全实践。 为中层管理人员提供培训也很重要。根据Netwrix联合创始人MichaelFimin的说法，因为他们是与业务用户合作的人 直接地，他们“发挥了很大的作用，因为他们可以控制他们的下属如何遵循政策。”确保他们了解网络安全政策，为什么他们到位以及如何遵循它们。 评估风险 了解您的组织存在高风险的最简单方法是当您被黑客攻击时。但是，当然，在你的公司登上报纸头版之前，能够衡量风险是很重要的。Pedergast说：“这个行业的事实之一是，很难量化与人类行为相关的风险水平。然而，他说，“LearigLAB的使命是量化企业中存在的人类风险的性质，并提供真正有针对性的培训”以减少风险。 与您已经使用的其他培训测量策略一起，模拟网络钓鱼练习是评估网络风险的一种方法。向员工发送伪造的网络钓鱼电子邮件，并查看有多少人点击。使用该信息作为一种风险度量和一种针对网络钓鱼培训的方法。 麦肯锡的詹姆斯·卡普兰和吉姆·博姆在他们对《网络风险手册》一书的贡献中建议衡量领先和落后 指标，除了主观指标外，还使用客观指标，并测量组织弹性，而不是只关注网络安全团队。 组织文化是公司的驱动力。创建一种拥抱网络安全的文化涉及领导战略、有效的培训和良好的测量实践。通过遵循这些技巧，你的L&D团队可以带头防止网络犯罪影响你的组织。 创建一种拥抱网络安全的文化涉及领导战略，有效的培训和良好的衡量实践。 探索我们的持续专业发展计划目录。 行政网络培训：从意识到行动 少将（Ret。）BrettWilliams是IronNet网络安全的联合创始人，也是网络安全领域著名的主旨发言人和执行培训师。 大多数公司董事和高级管理人员都得到了这样的信息：网络安全不再是IT问题；这是一个战略业务问题。这意味着董事会，首席