小企業正在逐步利用業務流程中的資訊技術，但這個過程並沒有安全地進行。實際上，當有其他幾個大的、有利可圖的組織攻擊他們時，他們並不相信對手將會針對他們進行攻擊。囙此，他們忽視了安全意識培訓等重要措施，這使得他們被網絡罪犯牢牢掌控著。

在許多方面，小公司比大公司承擔的風險更大，因為不利的事件對他們來說可能是非常昂貴的。根據美國網路安全聯盟的統計，60%的小企業在網路安全漏洞發生後的六個月內都無法維持他們的業務。對手通過攻擊他們來竊取客戶身份、銀行記錄甚至是知識產權等資訊。

常見的導致資料丟失和安全性漏洞的事件包括：員工在多個網站上重用憑據、下載通過電子郵件發送的惡意附件、社交網絡的使用、使用機密資料丟失的設備、以及無意中通過電話提供敏感資訊。所以必須從根本上加强對安全意識培訓的關注，以防止這種事件發生。

為什麼小企業需要安全意識培訓？

小企業面臨著嚴峻的挑戰。業主通常發現他們沒有足够的財務來投資於强大的安全系統。資源是有限的，並且他們的IT部門規模與大型組織的規模並不相同。幸運的是，建立一種安全意識文化在他們的範圍之內。

對小型企業來說，安全意識培訓是防止各種非科技和科技入侵的必要條件。通過確保人員從上到下地進行安全管理，小公司可以保持他們最有價值的資產的機密性。同時，安全意識也確保了以下幾點：

法規符合性：如薩班斯-奧克斯利法案和PCI規則都知道，人類是資訊安全中最薄弱的環節。安全意識培訓確保人們完全遵守這些規定。

客戶信任：消費者對公司關於其數據安全性的承諾表示懷疑。數據洩露的標題頻繁出現，這些使消費者都不堪重負。安全意識培訓激勵員工PII盡一切可能來保護客戶的個人身份資訊。

成本降低：卡巴斯基實驗室的調查顯示，小型企業平均需要花費38000美元從數據洩露中恢復，如果考慮到聲譽損失和間接成本，則成本更高。安全意識培訓確保公司準備好防止這種情況發生；把它看作是一種投資，可以節省大量的開支。

很明顯，為了保護自己的資產和聲譽，主動讓員工安全意識是小公司能做的最好的事情之一。

小企業面臨什麼樣的風險/威脅？

小型企業吸引著網絡犯罪分子，因為他們缺乏大型組織可以實施的安全級別來减少威脅。以下是他們面臨的安全挑戰：

矛詐騙：對手使用BEC（商業電子郵件妥協）等科技，並採取欺騙手段傳送偽造的電子郵件。利用信任的供應商、業務顧問或金融機構的身份來創造合法性。過去幾年裏，針對小公司的釣魚網路釣魚攻擊事件大幅增加。

Ransomware：這是在業務系統上安裝病毒時，授權用戶是完全鎖定的。當數據被對手加密後，數據就變得不可訪問了，在此之後，現金被要求重新獲得訪問權。Ransomware通常是通過下載和附件傳遞的。根據被阻塞的數據/系統對公司的重要性，攻擊可能會使操作癱瘓。

基於BYOD的滲透：隨著越來越多的小型企業採用BYOD，其應用下載的風險暴露軟件和來自未加密網絡連接的木馬軟件新增。這種情況通常發生在公司人員使用他們的個人設備通過公共WiFi訪問商業資訊、通過協力廠商應用共亯數據或忽視更改帳戶密碼的時候。

無知/惡意的員工：這是小企業面臨的大多數安全威脅的根本原因。對員工的無知或惡意的態度會使你的計畫、業務資訊、支付細節、客戶資訊等容易受到攻擊。典型的無知或惡意行為包括訪問非法/不安全的網站，訪問未經授權的來源的應用程序，以及使用弱密碼。

要進行安全意識培訓至關重要，以减少這些威脅的風險。

一個小公司如何建立一個安全意識項目？

一個安全意識項目至關重要，它可以停止將安全作為一種一次性的實現來應對威脅，並建立一個普遍的、積極主動的安全文化，在這種文化中，人員可以發現風險並作出適當的决定。以下是小企業如何創建一個安全意識培訓專案，讓每個人都參與進來。

1.    分配角色，讓人們承擔責任

基於角色的安全意識培訓是業務的一個橫截面。培訓應與不同的角色和責任保持一致。例如，管理者應該理解安全需求，並承擔起鼓勵員工意識的責任。另一方面，員工應該在保護公司數據和隱私方面扮演重要角色。員工層面的安全意識培訓可能涉及到身份竊取和可疑資訊的發現。

2.    在可能的情况下個性化

傳遞安全意識的最好管道是將它以一種個性化的管道灌輸到公司的文化中。與您的IT部門合作，將安全術語翻譯成簡單的指導方針，方便每個人都可以輕鬆遵循。你還可以做的另一件事就是通過真實的生活實例來教員工安全風險。如果您擔心密碼操作的薄弱，請與現實世界建立聯系，以幫助員工與良好的密碼練習培訓之間產生共鳴。例如，强大的密碼保護機密資訊，就像强大的免疫系統保護人體免受疾病的影響一樣。

3.    提醒安全行為

安全意識培訓的覈心本質是不斷提升安全行為。使用Slack和Google Hangouts這樣的通信工具來頻繁地交流安全行為。例如，你可以在Slack上標出連接無安全WiFi網絡的危險。或者用簡單的行事曆提醒在需要的時候提供安全通知。

4.    建立用於訪問安全意識培訓的度量標準

需要製定度量標準來衡量一個安全意識培訓專案的成功。不同類型和水准的培訓將會有所不同。例如，减少系統宕機和减少電子郵件詐騙將意味著員工更好地認識了安全威脅，並提高了對社交網路釣魚的認識。可以利用效能評估和行為跟踪來瞭解安全意識程式是否成功設定。

建立一個成熟的安全意識程式將减少對手獲得小公司未經授權的訪問和竊取商業資訊的風險。

小型企業的安全意識資源

每個小企業都是不同的，並且沒有特定的管道來建立一個安全意識程式。但是，下麵的參考資料中包含了一些有用的提示和名額，這些提示和名額將給您一個清晰的思路。

PCI安全標準委員會：該資源為小型企業提供了保護支付卡數據的意識，這是小商戶所依賴的交易。該資源為小商家提供了各種各樣的指南。

NCSA（國家網路安全聯盟）：NCSA提供一個資源，幫助保護您的業務免受網絡攻擊，隱私違規和其他威脅。

Barry Horne培訓：BH培訓為小型企業提供了一種特殊的安全意識課程。學生們學習如何保護最有價值的商業數據，使小型企業免受所面臨的共同安全威脅。課程是用非科技語言設計的。

最後的想法

在未來10年，隨著安全意識培訓部門的增長將超過100億美元，現在是小企業將安全意識培訓作為其威脅防禦戰畧的基本組成部分的時候了。上面提到的指導方針和資源為保護機密資訊的措施提供了方向，使你能够避開那些看起來容易成為攻擊目標的敵人。

原文連結：

http://resources.infosecinstitute.com/security-awareness-training-can-protect-small-businesses/

本文由看雪翻譯小組敲程式碼的猫編譯

2020安全開發者峰會（2020 SDC）議題徵集中國.北京7月！