构建信息安全感知程序（二）

ApacheCN_飞龙

发布于 2024-05-24 16:10:07

440

发布于 2024-05-24 16:10:07

文章被收录于专栏：信数据得永生信数据得永生

原文：annas-archive.org/md5/cb5e79ad1f7a31eaf76b82b01d6af659 译者：飞龙协议：CC BY-NC-SA 4.0

第十章：培训周期

瓦莱丽·托马斯 ^(Securicon, Lorton, VA, USA)

摘要

许多因素影响组织的培训周期，例如预算、管理支持、监管合规性和材料数量。如果您的组织必须执行培训活动以满足监管合规性，那么利用这一点提供有意义的培训材料，而不仅仅是满足最低要求。确定或调整组织的培训周期不仅取决于安全部门，还取决于管理支持。在规划培训时与高级管理人员密切合作；他们将在预算、培训频率和方法方面提供指导。有效的信息安全程序得到了高级管理的支持，在长期来看，最好是提供一个得到高级管理支持的精简程序，然后将所有时间都花在需要支持的人身上。

关键词

新员工培训

嵌入式培训

持续培训

半年一次

合规性

培训周期

为了员工能够保持知识，他们需要进行多次培训。真正的教育不是一劳永逸的过程。培训周期应包括短期和长期的培训实例。在本章中，我们将讨论创建自己培训周期的各种选项。在审查选项时，请记住您不需要实施所有选项，只需根据您的组织情况选择合适的选项。

新员工

我们都听过这句话“你永远不会有第二次机会来留下第一印象。”这也适用于意识培训。新员工培训是员工第一次了解组织内部运作的初步。如果安全培训杂乱无章或不完整，那就会传达出安全对组织或其员工不是优先事项的印象。至少培训应该

■ 描述安全培训的目的

■ 突出显示安全策略的关键领域

■ 详细介绍对组织的最大威胁

■ 突出显示物理安全威胁

■ 教用户如何识别和报告可疑的电子邮件或活动

新员工应该在培训结束时理解上述列出的项目，并获得所涵盖信息和安全政策的副本（或位置）以供将来参考。此外，培训应在授予对组织资产的访问权限之前完成。

每季度一次

每位员工都需要进行定期的刷新课程；这有时被称为人员更新 [1]。保持计算机安全性的最新需要持续的警惕性；人员需要相同级别的维护或人员更新。虽然新员工培训是必不可少的，但为了员工长期保持概念，他们需要定期的复习。

为什么是季度？

许多行业标准要求每季度进行安全意识培训。如果您的组织需要遵守这些规定，请利用它。每季度培训是一个绝佳的机会，让员工了解最新的威胁和趋势。组织是否受到钓鱼邮件的攻击？如果是的话，在培训中包含这封邮件，并突出可疑的部分。不要忘记包括报告可疑邮件的程序。

这也是一个宣布政策变更的理想途径，详细说明已添加或删除的内容。包括一两篇关于当前攻击的文章将为所涵盖的材料提供真实世界的应用。

半年一次

如果您的管理层不支持每季度培训，应将半年一次培训视为最低要求的时间框架。期望员工在被教授一次后记住某事将使您的员工毫无准备和沮丧。如果培训只能每年进行两次，请确保内容集中在对您组织安全至关重要的主题上。虽然每个组织的优先事项不同，但一些例子包括

■ 笔记本电脑安全以及如何报告丢失/被盗的笔记本电脑

■ 辨识钓鱼尝试以及如何报告它们

■ 妥善处理敏感信息

■ 防止尾随

您会注意到，这些信息似乎与新员工培训类似。半年一次培训的目的是强化新员工培训中描述的基本原则，而不详细说明每项政策。

持续的

在第九章中，我们讨论了几种非正式培训的变体。这些低成本的计划可以强化全年其他必需培训活动中教授的概念。实施持续培训可以让员工时刻关注安全。一些例子包括

■ 公司笔记本电脑遗忘在公共场所的海报，以及报告安全事件的电话号码

■ 家庭使用在线安全提示的电子邮件通讯

■ 为员工工作站实施登录横幅，每天提供一条安全提示[2]

■ 社交媒体安全的午餐学习会

失败点

失败点，也称为嵌入式培训，是指在员工未能通过模拟钓鱼攻击时进行的培训。关于行业中对失败点培训的有效性存在不同意见。一些行业成员声称这种培训方法是无效的[3]，因为员工没有保留所呈现的信息。其他行业成员声称，如果正确实施，这种培训方法非常有效[4]。如果您的管理层不支持每季度为所有人员进行培训，失败点培训可以教育最需要的员工。

正确实施失败点培训的关键是测试频率。在模拟攻击失败的员工应在失败后数周内再次进行测试。这个过程通过要求他们应用学到的概念来强化所呈现的材料。然而，模拟钓鱼攻击不应该与失败的攻击看起来完全一样。在第十一章中，我们将讨论创建自己的模拟钓鱼攻击。

有针对性的培训

每年培训周期中应包括按部门进行的培训。为了达到最大的效果，这种培训应该与一般员工培训分开进行。将材料单独呈现使员工能够长期吸收和保留信息。理想情况下，这种有针对性的培训应该每季度进行一次，重点放在每个部门独特的三个关键信息或威胁上。强调每个组织所面临的独特威胁。应收账款和营销部门面临来自宏观病毒和恶意 PDF 文件的高风险，因为打开来自组织外部收到的文件是一种常见活动。帮助台是攻击者获取有关计算机账户、公司政策、操作系统详细信息和组织结构的主要目标，通过对帮助台进行虚假电话。创建每个部门的顶级威胁列表，然后创建地址不超过三个具体威胁的培训片段。

样本培训周期

如果你的意识计划是新的，并且没有当前的周期，最好计划一个强大的培训周期。获得管理层批准实施新的培训周期可能比获得修改现有培训周期的批准更容易。新员工培训不重复，因此不包括在下面的示例中。

最低

这个周期的设计包括了建议的最低培训间隔。将有针对性的培训纳入每年两次更是至关重要，因为对于那些需要与公众打交道的职位来说，这样做可以更加强调最佳实践，而不仅仅是每年两次：

■ 所有员工每年两次的培训会议

■ 通过新闻简报和海报的持续培训

■ 针对公众部门每年两次

适度

这个周期是为那些能够实施超过最低培训周期的组织而设计的，并纳入了额外的元素：

■ 所有员工每年两次的培训会议

■ 通过视频广告、午餐学习、新闻简报和海报进行持续培训

■ 针对公众部门每年两次

■ 所有员工每年两次的失败点培训

强大

这个培训周期包括多种元素，以使员工大约每六十天接受一次培训：

■ 所有员工每季度培训一次

■ 通过视频广告、午餐学习、比赛、新闻简报和海报进行持续培训

■ 定期为面向公众部门的员工进行半年一次的针对性培训

■ 每季度为所有员工进行故障点培训

调整您的培训周期

如果您已经建立了现有的培训周期，并且指标表明培训未达到目标，那么很可能需要调整培训周期。增加持续培训是一种低成本的选择。将新的持续培训与其他培训类型相结合，将获得更高的投资回报率。使用指标确定意识水平低下的领域，并调整培训周期以增加这些领域的培训。例如，如果网络钓鱼检测结果不佳，则考虑实施故障点培训，为未通过网络钓鱼评估的员工提供即时培训。程序指标在第十三章中进行了广泛讨论。

注

[1] 用户教育是否有效？www.eset.com/us/resources/white-papers/People_Patching.pdf [于 2014 年 2 月 16 日访问]。

[2] 开展持续的医疗数据安全培训 healthitsecurity.com/2013/08/05/developing-continual-healthcare-data-security-training/ [于 2014 年 2 月 16 日访问]。

[3] 为什么培训无法减轻网络钓鱼的影响 www.govinfosecurity.com/interviews/training-doesnt-mitigate-phishing-i-2148? [于 2014 年 2 月 17 日访问]。

[4] 惊人的事实：故障点网络钓鱼培训无效 blog.knowbe4.com/bid/371048/SHOCKER-Point-Of-Failure-Phishing-Training-Does-Not-Work [于 2014 年 2 月 17 日访问]。

第十一章：创建模拟钓鱼攻击

瓦莱丽·托马斯（美国弗吉尼亚州洛顿市 Securicon）

摘要

执行模拟钓鱼评估可能是一个令人畏惧的过程。本章详细介绍了逐步进行评估的过程，以解开该过程的神秘面纱。讨论了各种工具和技术，使读者能够为其组织选择最佳的工具和方法。尽管工具和技术是该过程的重要组成部分，但还必须协调其他元素才能执行成功的评估。本章还讨论了模拟钓鱼评估的规划和协调要素。

关键词

钓鱼攻击

模拟钓鱼评估

攻击

协调

报告

模拟钓鱼攻击

模拟钓鱼攻击由于多种原因在组织中日益受到欢迎。当正确实施时，模拟钓鱼攻击可以用作培训工具，测试对攻击的抵抗力，并向管理层提供指标。尽管模拟钓鱼攻击很有用，但如果你之前没有创建过，可能会有点吓人。在本章中，我们将逐步介绍这个过程，并讨论一些有助于这一过程的工具。开始进行模拟钓鱼活动可能会让人感到不知所措。请记住，你不是一次测试你组织中的所有人。这些活动或评估可以轻松地分成小组。

理解人的因素

钓鱼电子邮件利用各种人类情绪来达到期望的行动[1]。通常，钓鱼电子邮件制造紧迫感，声称如果不立即采取行动，收件人的账户将被禁用。另一种常见的攻击是电子贺卡电子邮件。这种攻击表示有人向用户发送了一张电子贺卡，他们必须点击链接来检索它。诱使员工成为攻击目标的其他策略包括使用他们的名字或发送一封看起来是来自同事的电子邮件。

方法论

如果你希望将模拟钓鱼演习纳入你的意识计划中，这是一个高层次的方法论[2]：

■ 建立基准，通过测试所有员工

■ 对所有员工进行培训（使用您选择的技术）

■ 继续测试员工

■ 使用嵌入式或持续的培训向员工进行教育

■ 向管理层报告结果

■ 根据需要进行调整

如果你的组织规模较小，可能需要数周，如果你的组织有数百到数千名员工，则可能需要数月来完成这一系列事件。

开源工具、商业工具或供应商执行？

在选择评估工具时有许多因素需要考虑，包括

■ 成本

■ 员工人数

■ 内置培训选项

■ 使用频率

■ 技术要求

■ 使用便利性

■ 长期度量报告

尽管所有这些因素都很重要，但你组织中的员工人数和预算分配通常是最重要的决定因素。

开源工具

开源软件/工具是“其源代码可用并获得了版权持有者授权的许可证，使得任何人都可以研究、修改和分发该软件以及任何目的。”简而言之，它几乎是免费的。因此，通常不会保证软件及其对环境的影响。此外，支持通常限于软件/开发者/用户论坛和有限的电子邮件回复。尽管单凭阅读文本可能会令人感到不安，但大多数渗透测试人员、漏洞分析人员和其他网络社区的技术人员使用一个或多个开源工具来完成工作。这些技术人员需要的大多数功能都不是由盈利公司制作的，因此依赖于开源社区。

开源工具中最流行的钓鱼活动工具是由 TrustedSec 的 Dave Kennedy 开发的 Social-Engineer Toolkit (SET)。它被认为是社会工程的“事实标准”(Figure 11.1)。SET 可以安装在网络内或外的机器上，具体取决于您的社会工程场景。

图 11.1 Social-Engineer Toolkit 的主菜单。

优点

除了免费之外，SET 还为钓鱼活动提供了各种资源，包括

■ 克隆现有网站以用作落地页（员工将从钓鱼消息进入/访问的页面）

■ 捕获输入到落地页的密码和其他信息

■ 提示用户从落地页运行程序

■ 配置以利用您组织的电子邮件服务器以便于传递

■ 创建要包含在电子邮件中的附件的能力

■ 与 Metasploit Framework 集成以获取高级测试选项

更新定期发布，广泛的文档可帮助您入门。总的来说，对于技术娴熟的用户来说，SET 是一个非常灵活的工具，可用于开发定制的钓鱼活动。

缺点

尽管 SET 是一个强大的工具，但由于以下几个原因，它可能不适用于所有环境：

■ 必须在 Linux 机器上安装

■ 基于命令行

■ 需要基本的 Apache web 服务器和 Metasploit Framework 知识

■ 工具本身不存储长期指标。必须从报告中记录并保存在其他地方

■ 电子邮件组不存储在工具中，必须单独维护

■ 没有专门的支持中心提供帮助

SET 为用户提供了许多基本和高级的钓鱼活动选项。不熟悉 Linux、Apache 和 Metasploit Framework 的用户可能会发现该工具难以使用。长期用户需要分别跟踪指标、电子邮件组和活动历史。有关 SET 的更多信息，请访问 TrustedSec 的网站www.trustedsec.com。

商业工具

如果您更喜欢基于图形的工具，商业产品可能更适合您。这些产品主要是基于网络的，通过供应商的基础架构进行托管。换句话说，您不需要任何硬件或 Linux 知识即可开始使用。钓鱼活动工具市场正在迅速扩展。一些最受欢迎的供应商包括 KnowBe4、PhishingBox 和 PhishMe。

优点

■ 预配置的电子邮件和着陆页模板。

■ 使用图形工具而不是修改页面源代码来更改着陆页外观的能力。

■ 大多数产品包含为未通过评估的员工提供的内置培训。

■ 产品基于网络，无需安装软件。

■ 许多产品允许您利用您组织的邮件服务器。

■ 提供用户指南和其他文档。

■ 供应商提供问题支持。

缺点

■ 订阅费用

■ 有些产品需要长期合同

■ 通常每年需要最低数量的电子邮件

商业工具还使得同时管理多个评估变得容易。图 11.2 是 PhishingBox 的仪表板。仪表板突出显示正在进行、已计划或等待授权的评估。选择正在进行的评估将为您提供有关已打开多少封电子邮件等最新信息。

图 11.2 PhishingBox 仪表板界面。

使用供应商工具的最大障碍是导入目标电子邮件地址。大多数工具需要电子邮件地址、姓名和部门的特定格式。如果选择使用供应商的电子邮件服务器执行测试，则可能需要与您的电子邮件团队进一步协调，以确保白名单上的供应商服务器以确保邮件传递。

选择商业工具

为了选择最适合您组织的工具，您应该对以下问题（或估计值）有答案：

■ 您的年度预算是多少？

■ 您希望发送多少封电子邮件，以及多频繁？

■ 是否希望为未通过评估的员工提供即时培训材料？

■ 您是否希望在电子邮件中包含附件？

许多供应商提供免费试用许可证和现场演示。考虑抽出时间参加现场演示。这不仅可以让你了解工具的概况，还是你问有关特定功能和功能的问题的机会。在选择之前评估几种不同的工具是很重要的。一些评估标准需要牢记的是

■ 创建活动的简易性

■ 电子邮件和着陆页模板的质量和数量

■ 修改模板的简便性

■ 自动将名字和部门插入电子邮件的能力

■ 创建您自己的电子邮件和着陆页的简易性

■ 报告生成和导出选项

■ 长期指标跟踪

■ 电子邮件组管理

■ 安排电子邮件发送的能力

■ 可用的用户指南和文档

由供应商执行

制作钓鱼活动并不适合所有人。如果您的预算支持更昂贵的解决方案，则可以雇佣供应商执行评估。几乎所有宣传钓鱼活动工具的供应商都提供专业服务的钓鱼评估。通常只进行一两次钓鱼评估的组织通常选择此方法。

优点

■ 易于实施。

■ 不需要购买或订阅软件。

■ 许多供应商不需要长期合同。

缺点

■ 最昂贵的解决方案。

■ 长期的度量追踪可能不可用。

■ 取决于供应商的可用性。

尽管供应商将在评估的大部分方面承担大部分工作，但作为客户，您必须提供一些项目，包括目标电子邮件地址列表和电子邮件发送时间表。最重要的是，您的组织必须内部协调，为评估做好准备，以避免安全团队和组织中其他关键职位之间的混淆。

准备工作

在这个过程中，运营协调是至关重要的。组织中的关键人员必须在执行钓鱼演习之前得到通知，以防将钓鱼演习误认为是真实攻击。您的首席信息安全官（CISO）必须了解所有计划和活动中的演习。公司的事件响应团队（IRT）的经理/处理程序在执行演习之前应该被通知。经理可以选择通知他们的团队，以防止花费时间和资源进行演习。经理也可以选择不通知他们的团队，以评估他们对攻击的响应。

向公司网络的黑客/渗透报告是非常敏感的事情。大多数人不想承认发生了入侵，并试图保持沉默。尽管这可能会“挽回面子”给公司，但它并不帮助所有公司，因为攻击数据/向量可能会传递给其他行业以防止其他入侵。除非另有明确要求的法律、法规或政策，否则最终的权限通常由公司的首席执行官和/或董事会成员，与公司的法律团队和公共关系办公室合作给出。如果要向外部机构报告事件，请确保高级管理人员参与，并遵守适用的法律/政策。

通知帮助台经理也是一个好的做法，因为他们可能会收到来自目标员工的电话。尽管帮助台经理通知员工进行潜在演习不太常见，但他们可以确保处理可疑电子邮件的程序对员工来说是最新的参考资料。对于帮助台经理报告在演习期间收到的电话和电子邮件数量也很重要。

创建一个带有相关方信息的联系人列表。确保每个主要联系人也有备用联系人。通知可能会因您选择的钓鱼邮件类型而变化。例如，如果您创建了一封看似来自人力资源部的电子邮件，则在进行钓鱼演练之前应该通知人力资源经理。此管理级别通知可以防止员工开始联系原始部门时出现混乱和恐慌。

确定攻击目标

模拟攻击可以简单也可以复杂，取决于你的意愿。它们可以设计用来衡量许多结果，包括

■ 仅点击，

■ 点击并在登陆页面输入信息，

■ 点击并在登陆页面输入密码，

■ 打开附件。

如果您的组织尚未进行模拟攻击，则仅点击目标是一个很好的起点。

选择收件人

首先选择要评估的员工将有助于确定您想要执行的攻击类型。员工可以分成组以便管理。如果您的组织跨越多个时区，请确保将员工分组在相似的时区内。非工作时间收到的电子邮件可能被视为可疑。对于非技术性员工，一般或公司特定类型的攻击最有可能导致点击。对于更有技术性的员工，针对性的钓鱼攻击更有可能导致点击。

选择钓鱼攻击类型

正如前面讨论的那样，钓鱼邮件利用人类情感欺骗受害者。这基本上意味着在选择电子邮件主题时可以做到百花齐放。

一般

一般的钓鱼攻击可以用来针对组织中的任何人。这些类型的电子邮件是您的前几封电子邮件的一个很好的起点。一些主题如下：

■ 您的包裹已发货！点击此处跟踪交付进度。

■ 任何寻求捐款的慈善机构。

■ 有人给您发送了一张电子卡！点击此处检索。

这些示例中的许多示例可以在全年利用，但最适合用于使用卡片的假期，例如情人节和十一月至十二月。许多购买的解决方案都有内置的通用消息，以帮助您入门。

公司特定

当进行组织网络的渗透测试时，道德黑客通常使用这些类型的攻击。原因很简单，这些攻击易于构建，并且大部分时间都有效。它们不仅在渗透测试中有效，在现实生活中也有效。攻击者可以在最短的时间内定位公司的网站或关联合作伙伴，例如

■ 计时软件供应商或网站，

■ 基于网页的电子邮件网站，

■ 基于网页的 VPN 网站，

■ 健康福利提供商。

这些网站的信息可以被用来模仿合法的电子邮件。此外，这些网站本身也可以被复制，以诱使员工在点击钓鱼邮件中的链接后输入信息，比如他们的用户名和密码。

针对性钓鱼

据软件公司趋势科技称，91% 的网络攻击都始于针对单个人或组织内的少数员工的钓鱼邮件[3]。钓鱼邮件的目标是单个人或组织内的小群体。攻击者会从多个来源搜索信息，以推断员工的工作职能以及他们与哪些公司、个人或团体有关联，从而制造一个可信的攻击。一封钓鱼邮件

■ 以收件人姓名称呼，

■ 看起来是由收件人熟悉的人或供应商发送的，

■ 包含带有商标和联系信息的适当签名块，

■ 通常包含一个被感染的附件，

■ 可以包含一个类似发送者的网站链接（abcbank.com 而不是 abc-bank.com）

虽然其他钓鱼邮件是大量发送的，但针对少数员工的钓鱼邮件通常少于五封。然而，额外的研究时间通常会产生回报，因为钓鱼邮件的成功率最高。

撰写电子邮件

一旦您选择了目标群体和电子邮件类型，就该开始创建电子邮件内容了。以下是创建逼真钓鱼邮件的一些关键要素：

■ 使用引人注目的主题。

■ 在消息正文中营造紧急感，以激励收件人采取行动。

■ 包含商标和其他适用的图片。

■ 确保发件人的姓名和电子邮件地址与您的电子邮件主题相匹配。

■ 如果您的电子邮件看起来来自某个人，请包含完整的签名块。

■ 对于看起来是自动生成的电子邮件，在电子邮件结尾包含隐私声明。

如果您使用供应商工具，可以在图形编辑器中编辑电子邮件外观。图 11.3 是供应商 KnowBe4 的撰写工具的屏幕截图。此特定模板包含一个登陆页面（链接被点击后浏览器会跳转到该页面），显示在右侧。如果您使用 SET，电子邮件内容需要是带有适当 HTML 标签格式的纯文本。

图 11.3 KnowBe4 的电子邮件撰写界面。

格式化链接

除非您在发送附件的攻击，否则您的电子邮件将包含一个供员工点击的链接。链接的外观或统一资源定位符（URL）在评估中扮演着重要角色。如果 URL 看起来可疑或拼写错误，员工就不太可能点击。

图形编辑工具允许您轻松修改 URL 的显示文本，使其显示为abc.com，但一旦点击就会转到cba.com。使用此技术将教育您的员工如何修改 URL 以及如何在点击之前验证链接的真实目的地。

创建着陆页

如果员工点击了附带的链接（图 11.4），他们将被引导到着陆页。如果您的评估目标是记录点击的员工人数，则这是一个理想的机会，可以显示一条消息，通知员工进行了模拟钓鱼评估，并提供培训材料。

图 11.4 KnowBe4 的基本着陆页。

如果攻击的目标是确定员工是否会点击并输入信息，则着陆页必须有可接受输入的区域。最常见的输入是帐户密码；但是，您可以自定义着陆页以适应攻击目标。所有商业工具都有接受输入的着陆页选择。如果您想使用属于您组织的网页，则大多数工具都有导入功能。提供了 URL 后，SET 将克隆一个网站。

发送电子邮件

现在您已经创建了收件人列表、电子邮件和着陆页，还有一些质量控制步骤需要在按下发送按钮之前执行：

■ 通过将钓鱼电子邮件发送给自己，测试电子邮件在您的电子邮件客户端和网络客户端（如果适用）中的外观。

■ 点击附带的链接以测试着陆页。如果您的组织使用多个浏览器，则在所有批准的浏览器中进行测试。

■ 如前文所述，通知联系人列表中的相关方。包括电子邮件、着陆页和培训页面（如果适用）的屏幕截图。还包括发送电子邮件的日期和时间。

时间就是一切

当发送电子邮件时，它们将极大地影响您评估的结果。理想情况下，电子邮件应在员工可能在上午或下午在办公桌前的时间发送。此外，当安排电子邮件交付时，请记住您的收件人处于哪个时区。

每个人偶尔都需要度假。如果联系人列表中有任何人在评估期间度假，请务必在发送任何电子邮件之前让他们的备用联系人参与。此外，负责发送电子邮件并跟踪其进度的人员需要提供帮助。不要在开始练习后的第二天就不在办公室。

跟踪结果

所有工具，商业和开源，都具有跟踪功能，以帮助您监控评估的状态。虽然个别跟踪功能可能有所不同，但大多数工具都会指示

■ 电子邮件是否被打开，

■ 接收者是否点击了链接，

■ 是否在着陆页中输入了信息，

■ 如果链接被点击超过一次。

商业工具将为每次评估存储结果信息，以便在额外评估后进行比较报告。SET 不存储结果信息，因此记录将需要单独跟踪，很可能是在电子表格中。在向管理层和其他相关方报告结果时，比较报告是关键，以表明后续培训的有效性。

结果跟踪不仅包括点击次数。其他重要的跟踪结果包括

■ 帮助台电话报告电子邮件，

■ 收到的报告电子邮件报告给安全部门，

■ 向安全部门的电话，

■ 涉及部门的电话，如人力资源

不当的报告表明员工不熟悉在收到可疑消息后应遵循的程序。培训程序可以进行调整以强化正确的程序。

评估后跟进

一旦评估完成并记录了所有结果，请与联系列表中的人员进行事后会议。讨论评估结果以及是否有任何意外结果。利用这些信息对程序和未来评估的联系列表进行更改。

注意

[1] 开源软件定义 en.wikipedia.org/wiki/Open-source_software [于 2014 年 5 月 26 日访问]。

[2] 高效员工钓鱼培训的七个习惯 threatsim.com/resources/whitepaper-seven-habits-phishing [于 2014 年 2 月 12 日访问]。

[3] 令人震惊：失败点钓鱼培训无效 blog.knowbe4.com/bid/371048/SHOCKER-Point-Of-Failure-Phishing-Training-Does-Not-Work [于 2014 年 2 月 17 日访问]。

[4] 91%的网络攻击始于针对特定目标的钓鱼邮件 news.techworld.com/security/3413574/91-of-cyberattacks-begin-with-spear-phishing-email/ [于 2014 年 2 月 17 日访问]。

第十二章：汇聚一切

瓦莱丽·托马斯 ^(Securicon, Lorton, VA, USA)

摘要

本章将前几章讨论的主题，技术，交付选项和时间表合并为三个样本计划。基于低，中和高预算金额，这些计划可作为组织发展的基础。审查了适用于任何预算的其他意识活动。最后，提供了向普通员工群体推广意识计划的指南。

关键词

计划

预算

成本

推广

国家网络安全意识月(NCSAM)

我们在前几章中已经介绍了意识计划的基本组成部分。现在，我们将探讨一些使用这些基本组成部分构建完整计划的示例。讨论的样本计划旨在为您提供一个计划基准，并可根据您组织的需求进行定制。

创建安全意识网站

该网站应该是你的意识计划的代表。它应该为员工提供一个可信赖的资源，提供最新信息。没有人想要在他们的电子邮件中搜索政策或程序，特别是当网站为他们提供他们所需的所有资源时[1]。至少，内容应包括

■ 报告可疑活动的电子邮件地址和电话号码

■ 培训和参考资料

■ 最近收到的网络钓鱼电子邮件或电话的警报

■ 企业计算机使用和物理安全政策

■ 他们家庭计算机的防病毒信息

■ 每日安全提示

■ 链接到外部关于热门话题的文章，例如身份盗窃

除了包含有用信息外，意识网站还需要具有吸引力，以鼓励员工访问。引人注目的标题，主题和图形能够吸引读者的注意力[2]。包括短的安全视频[3]或卡通[4]可以创建一个有吸引力且具有教育性的网站。与您的市场营销和网页开发团队合作，简化访客的体验。最重要的是，网站内容必须是当前的，以吸引员工频繁访问。虽然您希望网站充满有用的内容，但不要过度加载多余的材料，因为一些员工可能无法区分有用信息和一般信息。

样本计划

低预算

该计划最适合预算有限的组织。如果部门地理分布广泛，可以由当地安全联系人介绍面对面培训部分，或者从总公司演示中录制。

新员工培训

■ 采用面对面讲座形式介绍以下企业政策：

■ 数据分类

■ 授权的计算机使用

■ 物理进出程序

■ 处理敏感信息

■ 报告可疑的电子邮件或活动

■ 符合监管要求的具体内容（如果适用）

■ 基于计算机的培训（CBT）、基于网络的培训（WBT）或视频培训，用于以下内容：

■ 计算机/笔记本电脑安全

■ 钓鱼意识和预防基础知识

■ 良好的安全习惯

■ 安全的网页浏览

■ 选择有效密码

■ 社会工程

存在许多免费的 CBT、WBT 和视频培训资源。请参见第八章中免费和商业培训产品的示例。一种 CBT 的形式也可以是您的安全团队制作的幻灯片。如果您选择的解决方案没有进度跟踪功能，请确保确定一种跟踪每位员工何时完成培训的方法。

每半年进行的培训

大部分每半年进行的培训都会重申新员工培训中涵盖的基本知识，但还会加入一些其他话题。

使用新员工培训的 CBT、WBT 或视频培训模块。还应该添加内容以包括

■ 与安全相关的政策或程序变更

■ 物理安全基础知识复习，比如尾随进入

■ 访客政策

■ 报告可疑电子邮件和/或活动的程序

■ 处理敏感信息的方法

■ 可移动媒体安全

■ 新的与安全相关的软件，比如密码保险箱

持续培训

海报是最廉价的意识资源之一。成功利用海报的两个最大因素是位置和内容。将海报放在交通量大的地方，这样它们就会被最多人看到。此外，要轮换海报，包括内容和位置，以确保员工不断地复习材料。通过这样做，你有更大的机会让员工记住海报上的信息。有关海报的更多信息请参见第八章。为员工保持信息新鲜的其他方法包括不断更新安全意识网站，并发布每月或每季度有关各种与安全相关的主题的新闻简报。这些都是让员工牢记安全意识的有效方法。

自制视频宣传是另一种低成本的培训选择。视频应该是非正式的——想象一下更像是 YouTube 而不是好莱坞——而且只有一两分钟长。在视频中使用员工可以鼓励每个人参与。在视频中加入一些幽默也可以鼓励员工经常期待观看，因为它能激发同事之间的友情，帮助员工与某个话题产生共鸣。还可以包括一个“建议箱”电子邮件帐户，供员工提交未来内容的想法。

许多免费的午餐学习活动选项存在。安全团队或其他员工（在安全团队的指导和批准下）可以为演示编写会话内容。在这些活动中演讲也是那些希望提高公众演讲技能的人的好方法。另一个选择是观看一个短视频，然后进行小组讨论。从每季度开始，并根据受欢迎程度和自愿者演讲者增加会话。可以在第八章中找到一些午餐学习主题的示例。

钓鱼评估

组织应该每年完成至少两次钓鱼评估。自行实施钓鱼评估的最便宜选项是使用开源软件。社会工程工具包（SET），如第十章中讨论的那样，是执行自己的钓鱼评估的免费工具。SET 需要基本的 Linux 和 Apache 知识，因此这项任务最好由安全团队中技术熟练的成员负责。确保结果以电子表格或类似格式存储以供长期跟踪和比较。

适度预算

这个计划最适合预算适中、地理位置分散的组织。该计划的重点是在流程自动化和内容最有利的领域利用资金。面对面培训部分可以由当地安全联系人进行或从主要公司办公室的演示录制。该计划的面对面培训部分旨在让组织中的安全组或当地联系人有一个面孔。

新员工培训

■ 以面对面讲座形式讲解以下公司政策：

■ 数据分类

■ 授权计算机使用

■ 物理进出程序

■ 处理敏感信息

■ 报告可疑电子邮件或活动

■ 特定监管要求（如果适用）

■ CBT、WBT 或视频培训的以下内容：

■ 计算机/笔记本安全

■ 钓鱼意识和预防基础知识

■ 良好的安全习惯

■ 安全的网络浏览

■ 选择有效密码

■ 社会工程学

对于适度预算，最佳选择是具有独立培训模块、钓鱼评估能力、可以与失败的钓鱼评估结合的培训模块以及进度跟踪的商业解决方案 WBT。进度跟踪应包括员工何时接受了所需的培训和钓鱼评估的结果。

半年培训

大多数半年培训都是重申新员工培训中涵盖的基本知识，但增加了一些额外的话题。利用新员工培训的 WBT 模块。还应添加内容，包括

■ 与安全相关的政策或流程更改

■ 对物理安全基础的审查，如尾随

■ 访客政策

■ 报告可疑电子邮件和/或活动的程序

■ 处理敏感信息

■ 可移动媒体安全

■ 新的与安全相关的软件，比如密码保险箱

请记住，每半年的培训课程并不要求使用相同的交付方法。例如，一年中的第一次培训课程可以是网络培训，而第二次培训课程可以是面对面的演示。改变交付方法通常是帮助员工保持数据记忆和整体意识的好方法。

持续培训

资金的首要用途应该是购买一个稳健的商业解决方案，该解决方案整合了培训、钓鱼测试和追踪功能。如果有额外的资金，考虑将商业视频广告活动纳入你的安全意识计划中。Restricted Intelligence 提供了一种基于喜剧的方法，通过一个视频系列以娱乐的方式教授安全基础知识。该活动采用类似电视系列的方式，每次发布一段视频。套餐包括海报、预告片和其他资源，用于宣传视频系列。更多信息请访问www.restrictedintelligence.co.uk/。

海报是最受欢迎且成本最低的意识资源之一。成功利用海报的两个最重要因素是位置和内容。将海报放置在人流量大的区域，以确保最大的可见性。此外，要轮换海报，包括内容和位置，以确保员工不断地复习材料。通过这样做，你有更大的机会让员工记住海报上的信息。关于海报的更多信息，请参考第八章。为员工保持信息更新的其他方法包括不断更新安全意识网站，并发布关于各种安全相关主题的每月或每季度新闻通讯。这些都是让员工时刻关注安全的有效方式。

也可以将午餐学习会纳入你的安全意识计划中，但不应占用年度计划预算的大部分。午餐学习会有许多免费和低成本的选择。安全团队或其他工作人员（在安全团队的指导和批准下）可以为演示文稿编写会议内容。在这些活动上演讲也是希望提高公众演讲技巧的人们的好方法。有关午餐学习会主题的一些示例可以在第八章中找到。

钓鱼测试

如果您投资于一个包括钓鱼评估能力和培训的强大商业解决方案，那么应该每季度完成钓鱼评估。为每个季度制定一个评估计划，与联系人名单一起审查，如第十章所讨论的。如果您的组织规模较小到中等，可能可以每月进行钓鱼评估。通过为那些未通过钓鱼评估的人提供培训，您正在提供一个全年不间断的培训计划，强化了在每年两次培训会议中传达的内容。

大预算

如果您的组织有足够大的预算，以下计划应作为最低活动基线。该计划假定组织拥有大量地理分布的员工，并且必须满足监管培训要求。该计划的重点是利用资金在流程自动化和内容方面获得最大效益。虽然面对面培训部分对一些组织效果很好，但对于大量员工，更多基于技术的交付解决方案可能更适合。

新员工培训

■ CBT、WBT 或视频培训包括以下内容：

■ 数据分类

■ 授权计算机使用

■ 进出程序

■ 敏感信息处理

■ 报告可疑电子邮件和/或活动的程序

■ 法规特定要求（如适用）

■ 计算机/笔记本安全

■ 钓鱼意识和基本预防

■ 良好的安全习惯

■ 安全的网络浏览

■ 选择有效的密码

■ 社会工程

对于组织特定的主题，定制的 WBT 解决方案是最佳选择。具有长期支持的定制 WBT 解决方案使您能够指定所需内容，并随着时间的推移更新材料。由于可能涉及敏感材料，最好将 WBT 托管在您的环境中。在选择商业产品时，请确保内容可以在您的环境中托管。

对于一般的安全主题，投资于一个具有独立培训模块、钓鱼评估能力、可以与未通过的钓鱼评估结合的培训模块以及进度跟踪的 WBT。进度跟踪应包括员工何时接受了必要的培训以及钓鱼评估的结果。

每年两次培训

大部分每年两次的培训重申了新员工培训中涵盖的基本知识，但还包括一些额外的主题。利用新员工培训中的 WBT 模块。还应添加内容，包括

■ 与安全相关的政策或程序更改

■ 审查物理安全基础知识，如尾随入侵

■ 访客政策

■ 报告可疑电子邮件和/或活动的程序

■ 敏感信息处理

■ 可移动媒体安全

■ 新的与安全相关的软件，如密码保险箱

请记住，不需要使用相同的交付方法进行每年两次的培训会议。例如，一年中的第一次培训会议可以是网络培训，而第二次培训会议可以是面对面演示。虽然为远程地点录制面对面演示是一种选择，但为了最大效果，当地现场安全经理应当呈现材料。这为员工提供了亲自提问并熟悉当地安全团队的机会。

持续培训

资金的首要优先事项应该是一个集成培训、钓鱼和跟踪能力的强大商业解决方案。如果有额外资金可用，考虑将商业视频广告活动纳入您的意识计划中。商业视频广告活动非常适合大型组织，因为它们提供持续的安全意识。Restricted Intelligence 提供了一个以喜剧为基础的方法，通过一个带有娱乐性转折的视频系列教授安全基础知识。该活动采用类似电视系列的方式，视频逐一发布。套餐包括海报、预告片和其他资源来宣传视频系列。更多信息请访问www.restrictedintelligence.co.uk/。

尽管海报被认为是一种低成本的意识资源，但仍应纳入您的意识计划中。在大型组织中，员工不太可能与安全团队进行日常互动。海报用于为员工提供最佳安全实践的微妙提醒。如果您投资于商业视频广告活动，海报通常包含在购买价格中。有关海报的更多信息可在第八章中找到。除了更新安全意识网站外，发布每月或每季度关于各种安全相关主题的新闻简报是保持员工对安全关注的有效方式。

对于大型组织来说，午餐学习会可能在逻辑上存在挑战，但并非不可能。在总部设施举办的会议可以录制或通过视频电话会议软件进行直播。此外，远程地点也可以举办本地会议。安全团队或其他工作人员（在安全团队的指导和批准下）可以为演示编写会议内容。在这些活动中演讲也是希望提高公众演讲技巧的人的好方法。如果预算允许，考虑聘请一位知名演讲人来鼓励参与。午餐学习的主题示例可在第八章中找到。

钓鱼评估

钓鱼评估应每季度完成，使用一款强大的商业解决方案，其中包括钓鱼评估功能以及培训。为每个季度制定评估计划，与第十章讨论的联系人清单一起审查。通过为那些未通过钓鱼评估的人提供培训，您正在提供一项全年持续的培训计划，加强了在每年两次培训会议中传达的内容。

推广您的意识计划

所有的意识计划都需要进行推广才能取得成功。然而，让员工参与并不总是一件容易的事情。通常可能需要在内部营销您的计划，也称为社会工程自己的（员工）。您不仅正在推广一个意识计划，而且还在影响一个具有安全意识的文化。以下是一些帮助您入门的活动。

比赛和奖品

人们天生具有竞争性，一旦涉及某种奖品，这种竞争性就会更加明显。比赛是吸引所有人的注意和参与的好方法。以下是一些示例，帮助您入门：

■ 根据程序、合规性或任何其他提供的材料回答安全问题的正确答案奖品

■ 安全海报比赛

■ 钓鱼评估得分完美的人的奖品或认可

■ 自制意识视频比赛

■ 每月对报告潜在钓鱼事件的人进行抽奖

奖品可以根据您的预算而变化。但是，奖品并不总是需要昂贵才能有效。一些流行的选择包括

■ 礼品卡

■ 电影票

■ 活动门票

■ 保留的停车位

■ 现金

■ 小型电子设备，如 MP3 播放器

公告

实施每月安全电子邮件活动可以使您的员工保持最新状态，并增加对您的安全意识网站的访问量。简短的每月电子邮件应包含一个关键消息。还包括链接到安全意识网站上的新材料。积极的公开认可可以成为员工激励的有力工具。考虑展示报告可疑活动或其他安全意识行为的员工。

国家网络安全意识月

美国国土安全部和国家网络安全联盟共同创建的国家网络安全意识月（NCSAM）在十月份举行。NCSAM 旨在在政府和民间组织中创建一个安全的网络环境[5]。NCSAM 可用于加强先前教授的材料，以及引入新内容。通常会为每周宣布一个主题，但不是必需的。一些示例主题包括以下内容：

■ 安全：一种共同的责任

■ 移动安全

■ 身份盗窃

■ 社交媒体的危险

■ 保护孩子在网上的安全

■ 网络犯罪

NCSAM 活动可以从特别版桌面背景到带有演讲和活动的网络安全展览会。许多大学和组织提供免费的 NCSAM 计划和协调材料。也可以在 www.staysafeonline.org/ncsam/ 上获得信息。

注释

[1] 安全意识快速入门指南 wiki.internet2.edu/confluence/display/itsg2/Security+Awareness+Quick+Start+Guide [于 2014 年 3 月 16 日访问]。

[2] 开发您的校园信息安全网站 wiki.internet2.edu/confluence/display/itsg2/Developing+Your+Campus+Information+Security+Website [于 2014 年 3 月 16 日访问]。

[3] 联邦贸易委员会消费者信息 www.consumer.ftc.gov/media [于 2014 年 3 月 16 日访问]。

[4] 安全漫画 www.securitycartoon.com/ [于 2014 年 3 月 16 日访问]。

[5] 国家网络安全意识月 www.dhs.gov/national-cyber-security-awareness-month [于 2014 年 3 月 22 日访问]。

第十三章：评估有效性

瓦莱丽·托马斯（美国弗吉尼亚州洛顿 Securicon）

摘要

评估意识计划的有效性可能具有挑战性，特别是对于那些没有风险管理背景的人。本章涵盖了选择有价值的测量和创建可用指标。详细讨论了正确报告和呈现指标，因为这对于获得高级管理层的理解和支持至关重要。

关键词

测量

指标

指标计划

图表

报告

评估有效性

意识计划经常被忽视的一个部分是跟踪进展和衡量影响的方法。这些指标应该用作调整计划和向高级管理层报告进展的指南。如果您的组织有一个风险管理团队，请与他们就他们当前的指标计划进行咨询。很可能他们收集的部分数据可以用于意识培训指标。

测量 vs. 指标

这些信息类型经常可以互换使用；然而，它们并不相同。

测量是在特定时间确定的数值，由计数生成[1]。一个测量的例子是上个月报告的感染计算机数量。

指标是通过对测量进行分析生成的。指标是对比在一定时间内进行的两个或多个测量，并与预定基线进行比较[1]。例如，感染计算机数量在第二季度比第一季度增加了 5%。可用的指标取决于准确的测量。

创建指标

成功的指标计划包括定义明确的测量和获取这些测量所需的步骤。记录所需测量和负责人员是关键。以下示例来自 SANS 社区网站[2]。许多意识计划资源可供使用，包括一个样本指标矩阵，网址为www.securingthehuman.org/resources/security-awareness-roadmap/。每个指标至少应包含以下部分。

指标名称

指标名称应该是可以从一个或多个类型的测量中计算出来的高级主题。在这个例子中，我们将使用钓鱼检测。

什么被测量

测量是客观原始数据，意味着不需要人类解释来获得测量值。钓鱼检测的一个测量是报告给安全团队的可疑电子邮件数量。这个测量旨在评估遵循适当程序报告可疑消息的员工数量。虽然这个测量本身就足够了，但额外的测量可以提供更多见解。测量关于可疑电子邮件的帮助台电话或电子邮件的数量也可能有用，因为它可以指示未遵循适当程序的员工数量。

收集的测量数据数量没有限制。与评估相关的钓鱼检测的一些附加测量数据包括

■ 发送的电子邮件数量

■ 打开的电子邮件数量

■ 点击链接的员工人数

■ 输入信息的员工人数

测量方式

获得钓鱼检测测量数据的常见方法是进行评估。继续以钓鱼检测为例，应在每次钓鱼评估结束时收集报告给安全部门的可疑电子邮件数量（图 13.1）。如果您使用商业工具，则每次评估发送的电子邮件数量可从报告屏幕中获取。

图 13.1 PhishingBox 的报告菜单。

测量时间

钓鱼演习的测量数据应该在每次评估结束时获得。如果您的组织进行半年度评估，则应每半年收集数据。然而，并非所有报告的电子邮件都与评估相关。因此，非评估数据应每月收集一次。

谁来衡量

此指标存在多个信息来源。安全团队收集收到的可疑电子邮件数量。评估联系点收集与钓鱼评估相关的数据。帮助台收集有关钓鱼电子邮件的电子邮件和电话数量。

附加测量

现在我们已经介绍了一个示例，这里是一些其他有用的测量数据：

■ 感染机器的数量

■ 完成意识培训的员工人数

■ 午餐和学习参与者人数

■ 安全意识网站的点击量

■ 发送给安全组的一般问题电子邮件数量

■ 一年中员工的测试成绩

■ 在公共区域留下的敏感文件数量

■ 未锁定的未监视计算机数量

■ 在建筑外佩戴徽章的员工人数

如果您的意识计划是新的，那么您的测量可能更多地关注部署。即使您的意识计划尚未完全实施，收集运营测量数据也很重要，以展示随时间的改进。

报告指标

指标旨在为观众提供做出决策所需的信息。然而，如果指标呈现不当，它们将被视为无效，并对意识计划产生负面影响。正确呈现指标的秘诀在于了解目标受众。

一个受欢迎的演示风格是分层方法[3]。在顶层，高级管理层对提供有关程序成熟度、成本和效益的高层信息感兴趣。向他们展示，认知计划对组织整体安全文化产生了积极影响是至关重要的。中间层，中层管理层，需要部门级别的信息来评估绩效水平和潜在的业务影响。最低层由认知计划经理和人员组成。该层需要详细的信息以调整节目内容以获得更好的性能。

建立您的演示

一旦确定了您的观众并选择了合适的度量标准，就该建立您的演示文稿了。演示指标的一些关键要素包括以下内容：

介绍

提供该程序的简短介绍。如果该程序正在部署中，请简要介绍部署计划、关键里程碑和迄今取得的成就。

指标的来源

在高层次解释获得了哪些测量值以及它们是如何收集的。时间是决策的重要因素，因此还要包括测量值是多频繁获得的。

指标

如上所述，只包括对您的观众相关的指标。图表是最受欢迎的指标报告样式。但是，只有在图表以有意义的方式描述数据时才有用。选择适合您数据的正确类型的图表是必不可少的。图表的三个主要类别是比较、转换和构成[4]。

比较图表最适合识别数字的高低点。过去两年每个季度报告的可疑电子邮件数量最好以这种格式表示（图 13.2）。聚类柱状图和柱状图是最受欢迎的表示方式。

图 13.2 聚类柱状图。

转换图表非常适合基于时间的数据以了解变化速率。安全意识网站的访问次数以及陷入钓鱼演习的员工数量都是转换图表的优秀候选者（图 13.3）。线形图和面积图最适合表示这种类型的数据。

图 13.3 带数据点的折线图。

组成图表表示数据值如何分解为各个部分。每个部门完成的意识培训最好以组成图表的形式表示。许多钓鱼评估细节也可以以这种方式呈现。打开钓鱼邮件的员工比例，点击附件链接的员工比例以及未打开邮件的员工比例可以在组成图表中表示(图 13.4)。饼图是这种数据类型的最流行的表示形式；然而，也可以使用堆积条形图。

图 13.4 百分比饼图。

使用基本的颜色，在彩色和灰度模式下都易于识别。虽然充满活力的颜色选择很诱人，但如果投影出去往往很难看清楚。最重要的是，保持幻灯片和报告部分简单。一张幻灯片应该只讨论一个主题。在一张幻灯片上混合不同的主题和指标经常会分散观众的注意力，使演示变得难以理解。

注意

[1] 安全度量指南 www.docstoc.com/docs/7264928/Guide-to-Security-Metrics-SHIRLEY-C-PAYNE-DIRECTOR-IT/.

[2] 安全意识路线图 www.securingthehuman.org/resources/security-awareness-roadmap/.

[3] 为有效的信息安全治理制定指标 www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/Developing-Metrics-for-Effective-Information-Security-Governance1.aspx.

[4] 选择适合您数据的正确图表类型，www.tutorial9.net/tutorials/web-tutorials/selecting-the-right-chart-type-for-your-data/.

第十四章：来自一线的故事

Bill Gardner ^(美国西弗吉尼亚州亨廷顿市马歇尔大学)

摘要

并非每个组织都相同。因此，当人们开始建立自己的信息安全意识计划时，会有各种各样的经验。在本章中，我们询问了那些在一线的人有关在自己的组织中建立信息安全意识计划的经验。

关键词

故事

问题

回答

我们询问了信息安全专业人士有关他们在建立自己的信息安全意识计划方面的经验，以下是他们的回答。

Phil Grimes

Phil Grimes 是一名父亲、骑行爱好者和信息安全专业人士，拥有为各种机构提供安全评估和渗透测试服务的经验，包括小型企业、金融机构、电子商务、电信、制造业、教育机构、政府机构和国际公司。Phil 从 1996 年开始作为一种爱好学习网络和互联网安全，自主开发技术技能，直到 2009 年加入专业安全行业。在 2012 年职业轨迹发生变化后，漏洞研究和利用开发成为主要关注点。Phil 在应用程序安全、渗透测试、移动/智能手机安全和社会工程方面的经验在国内外高端客户的评估中得到了成功的证明。作为一名成功的演讲者和展示者，Phil 曾在 Notacon、CUISPA 会议以及中央俄亥俄信息安全协会信息安全峰会上就各种主题进行了演讲，还参加了各种其他面向广泛受众的演讲活动。

Q: 感谢您参与此问答。请向我们介绍一下您自己。

A: 我是一名独立的安全研究员，专注于漏洞研究和利用开发，主要针对 Web 应用程序和人类。自上世纪 90 年代中期以来，我就一直活跃在“黑客圈”，并始终对系统的破解充满激情。我于 2009 年进入信息安全领域，但在 2013 年暂停了我的独立研究工作。我曾在全国各地的技术和管理人员面前就各种旨在提高用户意识和教育的主题以及关于各种攻击如何进行的演示发表演讲。

Q: 你认为什么构成了信息安全意识计划？

A: 为了让安全意识计划奏效，必须让员工参与其中。个人必须有某种原因来“认同”，这通常超出了工作范围。将安全问题与用户的日常生活联系起来，将风险置于他们理解的术语中，并帮助他们意识到我们技术生活的各个方面与我们的许多身体生活方面不经意间交织在一起。鼓励人们自我管理（和互相管理），并奖励那些在事情不对时发声的人，将有助于将文化从一种安于现状的沉默转变为一种积极参与的文化。

Q: 为什么社会工程和其他非技术攻击如此成功？

A: 人类是计算和商业中最薄弱的环节。理解这一点，攻击者利用对组织内人员心理的理解，利用正常的人类行为和社会规范，诱使人们做出他们本不应该或通常不会做的事情，对组织内的人员进行毁灭性的攻击。结合技术攻击和无尽的组合，组织发现自己在进行一场持续的艰苦斗争，他们必须每天都“正确”，才能成功，而只要“错误”一次就可能使其瘫痪或完全摧毁。

Q: 如何为一个项目获得管理层支持？

A: 这是一个关键问题。事实上，实现这一点的唯一方法是向他们展示不在这个领域取得进展将会导致的后果。安全始终被视为被忽视的方面，并且直到为时已晚之后，决策者才将其作为优先事项。意识计划的一部分必须是测试我们的用户。往往情况下，这必须是首要组成部分，并且必须在任何计划得到正式制定之前加以利用，因为它提供了度量标准，并允许向管理层提供实质性的证据，以支持我们为何需要将其作为优先事项。

Q: 为组织建立信息安全意识计划的最大挑战是什么？

A: 获得管理层支持。

Q: 预算是否是一个问题？

A: 是的，但并非如此。每季度举行一次或两次会议，给安全团队测试用户的能力，分析结果，并将这些数据与会议上呈现的内容相对应。这并不需要有巨额预算。

Q: 需要克服哪些政治障碍？

A: 这与前面的问题相关。从管理层获得支持并克服预算上的反对是这一切的基础。在组织内始终存在着必须考虑的人际关系因素。政治是企业的一个丑陋副作用，创建安全意识计划时必须考虑到这一点。

Q: 用于衡量信息安全意识计划成功的指标有哪些？

A: 我们通过对用户实施各种受控攻击来测试，得到了一组数据集，使我们能够评估我们将用来定制认知计划的各种指标。诸如“我们发送了 100 封电子邮件，其中 30 封被打开，18 个点击了内部的恶意链接，3 个将其报告为可疑。”能够创建允许我们的安全团队制定这些声明的情境，将允许安全认知计划针对相关威胁，并允许我们创建一个基于理性反应的计划。

Q: 你在信息安全认知计划中遇到了哪些失败和陷阱？

A: 缺乏一致性，缺乏度量标准，缺乏后续行动，缺乏政策，缺乏执行力，缺乏对计划的重视。

Q: 你在信息安全认知计划中遇到了哪些成功？

A: 我已经为一个特定客户连续几年进行用户意识培训，并且看到熟悉的面孔出现并背诵他们在我的培训中学到的内容，或者让他们在我的培训期间（甚至之后）与我或彼此进行交流，谈论他们如何以不同的方式做事情，这真的很令人满足。看到他们改变了思维方式是一个巨大的成功。

Q: 什么是一个项目的最佳培训周期？

A: 我认为如果该项目是全面的，季度培训是足够的。这样可以让他们头脑中的材料保持新鲜，并使其成为一种总是在后面的炉灶上的东西。

Q: 什么样的学习和教学方式最有效？

A: 我认为这不是一个人可以回答的问题。我教的方式可能不适合其他人。我学习的方式肯定不会。在创建一个针对广泛受众的计划时，我见过几种不同的成功方式。一次又一次地将其灌输给他们，这很烦人且昂贵。将其制作成“会议风格”的一天，以便进行不同的会话，采用不同的技术，让人们体验不同的风格并找到适合自己的。我也见过几种风格融合成一种的情况，听众在整个计划中听、说、读和参与各种不同的环节。我认为从听众那里得到反馈很重要，因为安全认知计划必须是一个活生生、充满活力的动物，不断发展，以满足业务和个人的需求。

Q: 对于其他正在建立自己计划的人，你有什么建议？

A: 就这样做。如果你已经在做了，继续做下去。只要我们在努力，这就比什么都不做要好。对于婴儿步伐感到高兴，但不要接受自满。

Q: 自建计划与从供应商那里购买预制的信息安全认知计划相比有什么优势？

A: 没有“灵丹妙药”。虽然对于任何事物都有一个框架，但战争的胜负在于细节。使用这个框架很好，但组织在利用这些框架构建程序时必须进行大量的自省。否则，只会让组织陷入一种虚假的安全感中。

Q: 是否有任何我们未涉及但您想要补充的内容？

A: 建立安全意识计划对每个组织都至关重要。您的员工是您最好的投资，可以比您购买的任何 IDS/IPS、任何防火墙和任何杀毒软件都更有价值。但像任何安全工具一样，它们必须定期测试和调整。

Amanda Berlin

Amanda Berlin 是俄亥俄北部地区一家区域性医疗中心的网络分析师。她最近转向与信息安全相关的主题。她管理公司内部的钓鱼活动，通过一个基于奖励的举报计划促进用户对钓鱼和黑客攻击的教育，同时还有其他系统管理和网络管理相关的责任。

Q: 感谢您参与这次问答。请介绍一下您自己。

A: 我叫阿曼达·柏林，在俄亥俄州一家中等规模的医疗中心工作。我从事 IT 工作已经大约 10 年了，我们组织的网络团队成员已经 4 年了（2010 年）。我们的网络团队负责组织的基础设施和安全。我一直对安全感兴趣，最近有机会更积极地参与信息安全社区，并开始走向渗透测试人员的道路。我也是我们的信息安全意识计划“Something Smells Phishy”的负责人和主要贡献者。在这个计划中，我们的用户每月都会收到针对性的钓鱼邮件，带有恶意链接或附件。

Q: 在您看来，什么构成了信息安全意识计划？

A: 一个旨在降低员工引入威胁进入环境可能性的工作。只需一次点击钓鱼邮件就可能危及您的环境，而最薄弱的环节是人为因素。该计划应该从基础开始，比如不点击邮件中可疑的链接/附件，并学习什么构成可疑。然后，逐步发展到诸如伪装、尾随、USB 驱动器投放等更高级的技术。

它应该包含易于阅读、简洁的内容，能够吸引和娱乐受众，以及奖励制度来鼓励用户根据他们所学到的信息行动起来。它需要鼓励用户，同时也要让人记忆深刻。没有人愿意感觉自己被你说得太低，因为他们应该知道得更好。我们的工作是向他们展示他们需要了解的内容。每个职业都有自己的专长；我们需要记住不要期望他们了解信息安全的各个方面。就像我们不需要了解他们每天做的事情一样。积极的强化将极大地使你说的话在他们心中留下印象。

在计划和执行得当的情况下，具有适应环境变化和威胁格局进展的能力可以节省大量时间和头痛。

Q: 为什么要建立自己的计划？

A: 我们做出这个决定有几个原因。最明显的第一个是通过教育来提高我们的安全姿态。我们知道我们组织中以前没有进行过任何培训。我们中的许多人亲眼看到我们的员工对任何与安全有关的最佳实践了解甚少。

另一个推动因素是我们认为以较低成本实施不会太困难。凭借我们现有的人才，我们愿意冒险看看我们能取得多大的改进。我们获得了 1000 美元的奖品。这笔钱被分成不同面额的礼品卡，作为奖励给举报钓鱼尝试的用户。与已经建立的安全意识计划相比，这笔金额节省了大量成本。

Q: 你是如何获得管理层对你的计划的支持的？

A: 我非常幸运能拥有如此注重安全的管理层。我们的 CEO 是一位前首席信息官，整个领导团队都明白信息安全的重要性。一个重要的转折点是我们在 2013 年进行的渗透测试，其中有几名员工被成功钓鱼，结果导致了我们网络的被利用。我们能够向他们展示我们认为可以大幅提高我们减轻这些攻击机会的低成本。

Q: 在为组织建立信息安全意识计划时，你最大的挑战是什么？

A: 到目前为止，有两个主要挑战。最明显的一个是向员工通报该计划。在我看来，我们在传播整个计划的目的方面做得不够。这是管理层支持的一个薄弱环节。我觉得我们有多种方式传播该计划的消息，但被拒绝了这个机会。一旦有几位高级人员被成功钓鱼，就有了更多的机会，让我通过不同的媒体接触更多人。

第二个更内部的问题是挖掘数据。我们在交换服务器上有超过 2000 个邮箱。虽然我已经使用 PowerShell 剥离出一个要针对的帐户列表，但手动将其与 SET xml 合并并在电子表格中跟踪不是一件有趣的事情。我的想法是有一个带有 MySQL 后端的 python 脚本来解析来自 xml 的数据，实时从 Microsoft AD 中提取数据，并报告。

Q: 预算是一个问题吗？

A: 没有。

Q: 需要克服的政治障碍有哪些？

A: 我们没有遇到任何重大的政治障碍。在我们遇到的少数问题中，一个是一些老员工觉得我们试图让他们陷入麻烦。我们有一个臭名昭著的抱怨者告诉我们，她再也不会信任我们的部门了。我还发送了一个网络钓鱼攻击活动，冒充了亚马逊的收据。这导致我们的一个员工打电话给 Kohl’s 取消了他们的信用卡，并致电 PayPal 提起了欺诈索赔。作为善意的举措，我们还给了这个特定的用户一张礼品卡。

Q: 用于衡量信息安全意识计划成功的哪些指标是有用的？

A: 我们正在使用随时间变化的来自网络钓鱼电子邮件的报告差异，无论是来自外部来源还是来自我们内部活动的合法来源。在开始这项活动之前，我们很少收到关于可疑电子邮件、计算机活动或网站的报告。现在我们每天都会收到它们，并且已经能够采取反应和积极的步骤来阻止和报告通过我们的垃圾邮件过滤器的电子邮件。

我们目前使用的指标包括每次活动点击链接的百分比，每次活动中用户/密码泄露的百分比，以及每月报告的百分比。

Q: 在构建信息安全意识计划时，您遇到了哪些失败和陷阱？

A: 我认为到目前为止，唯一的失败就是计划细节未能达到我们用户以及在运行活动时我的个人失败。我个人喜欢突袭他们。我想看看在没有任何先前警告或培训的情况下我们的暴露程度如何。然而，其他人认为我们最好在运行之前将该计划灌输给人们。虽然意见不同，但我仍然认为这是一个陷阱。

就我的个人失败而言，在开始阶段，有几次 SET 的表现不如我预期的那样。这迫使我在人们尝试登录时迅速重新运行活动。我认为如果我事先进行更多的测试，点击和登录次数会更高。

Q: 一个计划的最佳培训周期是什么？

进行网络钓鱼。
教育 — 在遭受网络钓鱼攻击后和整个用户群体（海报，电子邮件，幻灯片，视频等）。
重复 — 进行更高级的活动。确保每次都包括重复犯规者，直到他们提交报告。

我认为通过钓鱼来吸引他们的注意力，然后教他们他们做错了什么，是让培训留下深刻印象的绝佳方式。没有什么比犯错或在饼干罐中被抓住更能留下深刻印象了。

Q: 你的计划使用了哪些学习和教学风格？

A: 我们设置我们的计划，以便随着我们员工学习的速度而不断发展。一开始缓慢进行，我使用 theHarvester.py 从网络上获取了我们组织的尽可能多的电子邮件。这使我们能够针对那些没有内部访问权限的人最有可能发现的候选人进行攻击。之后，我进展到最常用的邮箱，然后对所有人进行了随机抽样。如果用户点击并泄露了密码，他们会自动被重定向到一个关于钓鱼的幻灯片，说明钓鱼的实质是什么，它会对我们造成什么伤害，以及他们可以做些什么来帮助。

我们还创建了一系列培训模块，涵盖各种主题，帮助用户学会更安全地操作。这些模块与我们今年员工的其他必修课程一起提供，始终强调报告可疑行为。

Q: 与从供应商购买预建的信息安全意识计划相比，自建计划的优势是什么？

A: 总的来说，成本和能够根据您组织的需要轻松定制计划。

Q: 在建立信息安全意识计划中你遇到的成功是什么？

A: 我们的员工给予了压倒性的积极反馈和鼓励。我有几个人和我开玩笑，还问了一些问题，并开始讨论信息安全。我还有个别部门联系我进行一些小型培训。

此外，我们员工的安全知识和报告技能有了很大的提高。合法外部钓鱼尝试的报告数量激增。我们的内部钓鱼成功率从 36%下降到 11%，然后下降到 1%。虽然前三个月都是相同类型的活动，但我仍然认为这是一个成功的指标。

Q: 对于正在建立自己的信息安全意识计划的人有什么建议？

尽可能详细地计划一切。如果你计划积极钓鱼用户，拥有良好的 6 个月甚至一年的想法储备会很好。
了解你试图实现什么。
尝试识别潜在的陷阱，并确保你有良好的回应。
如果你有一个帮助台或几个将被联系到你的计划的人员群组，请确保他们对用户的期望和整个过程的积极方面有统一的观点。
将其变成游戏或比赛。人们喜欢赢得东西，特别是如果他们有很大的机会。确保游戏/比赛规则事先明确设置。

Q: 有没有我们没有涉及到的内容，您想要补充的？

A: 对我来说，这个项目不仅非常有趣，而且是一次了不起的学习经历。对于刚开始积极参与信息安全社区的人来说，这是一个很好的第一步。在红队和蓝队两方面都很不错。你可以找出公司的弱点，然后采取积极的步骤来减轻它们。我鼓励每个作为网络或系统管理员的人采取步骤，在你的公司开始其中一个这样的项目。无论规模大小，我们都需要采取措施来使企业更加安全。

Jimmy Vo

Jimmy Vo 是密歇根东南部一家公司的安全顾问。在成为安全顾问之前，他曾是金融领域组织的安全和系统分析员。他的重点是安全监控和安全评估。他是 OWASP 底特律和 MiSec 的活跃成员。Jimmy 拥有波士顿大学计算机信息系统硕士学位。

Q: 感谢您参与这次问答。请介绍一下您自己。

A: 我目前在密歇根州的一家公司担任安全顾问。我目前的安全意识工作与上一份工作相同。在我以前的工作中，我是一家小公司中众多其他角色中唯一的“安全”人员。

Q: 在您看来，什么构成了信息安全意识计划？

A: 在我看来，安全意识就像一个业务功能一样。它必须支持公司的目标并提供价值。这个价值在于让同事们关心安全，而不把它看作是一个烦恼。安全意识计划可能因组织而异，但关键组成部分包括关键指标、传递意识材料和评估有效性。

Q: 建立您自己的程序的原因是什么？

A: 我决定在我的上一份工作中建立安全意识计划的主要原因有两个：

(1) 鱼叉式网络钓鱼越来越常见。

(2) 在我看来，安全意识就是在建立文化。我当时正在尝试建立一个安全计划，而其第一部分是围绕安全建立文化。安全意识计划解决了这个问题。

Q: 您是如何获得管理层的支持的？

A: 管理层的支持非常简单，因为我不必采购价值数千美元的设备。这是一项时间投资，而我有一点空闲时间（或者我以为有）。执行团队非常重视安全，因为他们所在的行业。

Q: 在为您的组织建立信息安全意识计划时，您最大的挑战是什么？

A: 最大的挑战是保持一致性。我所在的团队非常小，负责业务中的许多其他功能。管理该计划需要时间和计划，有时候时间并不充足。将项目交付的优先级与专注于安全意识之间的对比相当简单。交付项目带来收入；安全意识没有直接的投资回报率。那是一个巨大的挑战。

Q：预算是否是一个问题？

A：预算不是问题，只是时间问题。

Q：需要克服的政治障碍是什么？

A：在启动该计划方面没有政治障碍。

Q：哪些指标对于衡量信息安全意识计划的成功是有用的？

A: 唯一使用的指标是报告的钓鱼尝试次数。它并没有衡量太多；但是，这是数据。

Q：在建立信息安全意识计划方面，您遇到了哪些失败和陷阱？

A：最大的陷阱/失败是缺乏建立安全意识计划的经验。另一个与缺乏时间挑战有关。

Q：什么样的培训周期是最佳的？

A：我认为培训周期相对于您的组织而言：我的组织在不同年龄段和学习风格上存在很大差异。

Q：您的计划使用了哪些学习和教学方式？

A: 由于宣传计划刚刚起步，而我在制定它后不久就离开了组织，我使用了每月带有有用信息的新闻简报。

Q：您对于其他人建立自己的计划有什么建议？

A：我的建议是要坚持下去并坚持下去。如果你没有时间，那就争取时间。还要记住，一些意识总比没有意识好。起初，它不必是一个完美的计划。

Q：与从供应商购买预先构建的信息安全意识计划相比，构建自己的计划有什么优势？

A：优势是节约成本。但是，如果您处于我所处的位置，质量可能会受到影响。缺乏经验确实影响了该计划的质量。

Q：在建立信息安全意识计划方面，您遇到了哪些成功？

A: 我的同事们在我的新闻简报中找到了很多价值。我处理了我的同事们在家里每天都会遇到的安全问题：钓鱼（来自假冒的银行）、恶意软件、密码。思路是，如果他们在家里关心这些问题，那么这种关心会转化到工作场所。

Q：您对当前正在建立自己的信息安全意识计划的人有何建议？

A：试一试就知道了。有很多资源可供使用。有一个安全意识的 NIST 文档。 SANS 提供了大量内容。确保您获得持续反馈，并使计划变得有趣。如果很无聊，就不会有效。如果您的计划无效，那么您就浪费了每个人的时间。

大型信息安全公司的安全研究

这位受访者不希望他的姓名与此次采访联系在一起，因为他在一家销售预构建信息安全意识产品的公司工作。

Q: 感谢您参与这次问答。请介绍一下您自己。

A: 在过去的生活中，我是一家托管 IT 服务公司的高级系统工程师兼安全负责人。我在我们设计和交付的系统中包含了安全架构，并提供了 SAT 课程。

Q: 依您之见，信息安全意识计划包括哪些内容？

A: 它必须从组织的最高层开始。您必须获得管理层和 C 级人员的支持才能建立和建立一个计划。基本上，安全意识计划教导用户要注意什么，不要被黑客和恶意人士欺骗。一旦您有了一个计划并开始测试它，当您的用户不会受到网络钓鱼活动的诱惑或者报告试图通过电话进行社会工程攻击的尝试时，您就成功了。一个真正的计划还会测试管理层和 C 级人员，以查看他们是否会因为“这是我的公司”而打破公司政策或者由于他们的头衔而获取对某些数据的访问权限。

Q: 建立自己的计划的原因是什么？

A: 我基于需求建立了自己的项目。在我之前工作的公司，我们迫切需要日常生活中的安全保障。我看到了这种需求，然后填补了它。最终，每个人都参与其中，作为一个公司，我们能够为客户提供更好的服务，因为我们能向他们保证，他们的数据在我们这里是安全的，原因是 XYZ。

Q: 您是如何让管理层支持您的项目的？

A: 我向管理层展示了建立计划的必要性。我对我们的基础设施以及我们的员工进行了简单的审计，并了解了目前的政策。我展示了一个攻击者如何轻易地进入并窃取我们的机密，以及我展示了简单的改变会使攻击者难以突破的事实。一旦我在较低的技术水平上展示了它，计划就自行销售了。

Q: 对于为您的组织建立信息安全意识计划，您遇到的最大挑战是什么？

A: 让人们接受变化是很困难的。变化不受欢迎，每个人似乎都在竭尽所能地抵制变化。我采取的方法是让我们试试这个两周。如果对我们来说不起作用，我们将重新审视它。在两周结束时，每个人都步调一致，旧的方式被遗忘了。

Q: 预算是一个问题吗？

A: 不，这不是问题。我找到了成本可承受的解决方案，可以进行部署。

Q: 需要克服哪些政治障碍？

A: 如上所述，对变化的抵制是最大的障碍。此外，测试的想法以及用户并不知道他们正在被测试的事实。没有人想要失败。必须明确指出这是一个测试，并且结果不会影响绩效评估。

Q: 有哪些指标可用于衡量信息安全意识计划的成功？

A: 对用户进行内部网络钓鱼活动和社会工程尝试，然后评估有多少人上当受骗，有多少人没有。

Q: 在构建信息安全意识计划时，您遇到了哪些失败和陷阱？

A: 如果我没有请教志同道合的人并寻求指导，我肯定会失败。不要假设人们知道一切。没有人知道一切。

Q: 您在自己的计划中使用了什么学习和教学风格？

A: 我向用户展示了我作为攻击者可以多快地通过像 Maltego 和 theHarvester 这样的服务从空气中提取电子邮件列表，然后我可以多快地使用 SET 克隆他们的网站并记录输入凭据。这吓到了一些人，但让每个人都警觉起来并听了下去。

Q: 您对那些正在构建自己的程序的人有什么建议？

A: 与已经做过的其他人交流。寻求建议并提出问题。

Q: 自己构建程序与从供应商购买预制信息安全意识计划相比的优势是什么？

A: 因为预制的不是为您的公司量身定制的。它们不是量身定制的，也不会涵盖您成功所需的一切。

Q: 在构建信息安全意识计划时，您遇到的成功是什么？

A: 当用户开始正确识别攻击者的恶意尝试时，成功就来了。他们不再点击链接，而是会报告并继续前进。那感觉真好。

Q: 您对那些目前正在构建自己信息安全意识计划的人有什么建议？

A: 别放弃。需要很多努力，但是很值得。

Harry Regan

Harry Regan 先生，CISSP、CISM，是一位拥有超过 30 年商业、联邦和国防经验的安全、信息技术和运营专业人士。他曾担任执行、高级技术人员和咨询任务，涉及企业和项目管理、计算机和网络运营以及高级咨询。Regan 先生在物理安全、信息安全和隐私计划开发、威胁和漏洞评估、技术对策、监控和数据采集（SCADA）系统、建筑和工业基础设施保护、NERC 重要基础设施保护（NERC CIP）以及监管合规方面拥有丰富经验。Regan 先生获得了天主教大学经济学学士学位和美国大学信息技术和运营研究硕士学位。

Q: 感谢您参与这次问答。请向我们介绍一下您自己。

A: 在 2002 年至 2008 年期间，我经营了一家专注于金融服务、医疗保健和高等教育安全问题的小型安全咨询公司。2004 年和 2005 年，我被委托合作开发一系列针对一个州立学院系统的安全意识培训模块。培训分为三个层次—学生、教职员工和管理层。

Q: 在您看来，信息安全意识计划包括什么？

A: 安全意识计划需要教育参与者为什么应该接受培训，提供危险活动和行为的指导，解释为什么这些活动是危险的，并举例说明不遵守的后果是什么—即个人或机构的伤害、惩罚和责任。

Q: 您自己建立计划的原因是什么？

A: 和许多学院系统一样，该州遭受了许多数据泄露事件，并面临着根据格拉姆-利奇-布莱利（GLBA）法案和其他隐私立法的处罚。缺乏足够的数据保护和最终用户教育已经引起了州检察长的关注，并发布了纠正所有州机构安全计划的命令。

Q: 如何获得管理层对您的计划的支持？

A: 在这种情况下，很容易——来自检察长办公室的机构失去自主权的威胁是最大的业务驱动力。

Q: 您在为您的组织建立信息安全意识计划时遇到的最大挑战是什么？

A: 我们最大的挑战是自由与开放之间的平衡。在学术环境中，强调自由表达思想、分享信息和讨论冲突思想的开放是重要的。但是，与许多利益相关者相比，普遍具有规则、限制和控制的安全计划的概念与之背道而驰。尽管 GLBA 明确要求建立一个正式的安全计划，但这个想法本身却成为了激烈辩论的焦点，而不是被接受为一种操作上的必要性。

Q: 预算是否是一个问题？

A: 是的。检察长办公室认为，学院系统应该已经有一个成熟的安全计划，包括一个安全意识计划，所以这是一个“无资金支持的命令”。

Q: 需要克服的政治障碍是什么？

A: 当我们开始建立这个计划时，我们不得不与法律团队辩论我们是否能够说某事是违反法规的。我们经常被指责帮助安全经理扩大权力。我们对此最好的武器是定期来自检察长办公室的信件，威胁要派出国家审计员监督系统的运作。

Q: 用于衡量信息安全意识计划成功的指标有哪些？

A：使用学习管理系统作为培训交付机制，并在材料中嵌入测验，这样我们可以跟踪完成度指标和嵌入式培训指标——因此，随着时间的推移，您不仅可以在培训期间看到理解的提高，还可以在培训结束时看到理解的提高。

Q：在构建信息安全意识计划时，您遇到了哪些失败和陷阱？

A：学生版本成功实施了。员工和管理人员的培训陷入了抵制和政治纷争之中，理由是以资源和优先级问题来表述：我们没有时间接受这种培训——而且我们是专业人士，不需要这种培训，所以对我来说优先级很低——持续的恶意软件爆发和网络入侵尽管如此。

Q：一个项目的最佳培训周期是什么？

A：在我看来，半年一次是最佳周期。我认为比这更频繁会使计划变成一种必须应付的琐事，而不是一种有益的复习。但我也相信，计划需要每半年进行修订和更新，这样人们不会一遍又一遍地看到完全相同的材料。在这样的计划中，人们最终会对此不感兴趣。

Q：您为自己的项目使用了什么学习和教学风格？

A：我们采用了情境方法：

■ 按角色分开培训——学生、教职员工和管理人员接受不同的培训。

■ 故事叙述——我们使用一系列小品，其中不同角色展示了良好和糟糕的安全行为，以突出培训中的重点。

■ 嵌入式测验——用于在培训过程中的某些时间点测试知识，并捕获测验结果以及最终结果。

Q：您对于其他人建立自己的项目有什么建议？

A：不要计划一次性的安全意识计划。随着技术和威胁的变化，它必须进行审查和更新。它还必须与受众相关——不是一刀切的方法。最后，也可能是最难实现的，它必须引起受众的兴趣——只是向用户传道授业解惑的一系列幻灯片是注定会失败的方法。

Q：相比从供应商购买预制的信息安全意识计划，自行构建您自己的计划有什么优势？

A：自行构建允许进行一定程度的定制，大多数预构建的程序都无法触及。此外，如果您使用学习管理平台（如 Moodle、DigitalChalk 等）构建您的程序，您还可以在其他培训和协作会议中使用同一平台。

Q：在建立信息安全意识计划过程中，您遇到的成功是什么？

A：我们在学生版本上取得了最大的成功，而在管理版本上遇到了最糟糕的情况。管理层似乎在说：“对我的团队来说，安全教育很重要，但我没时间……”

Q: 您对那些正在建立自己信息安全意识计划的人有什么建议？

A: 不要假设你的受众有任何技术背景。即使是像 Web、URL 和网络这样的术语对一些用户来说可能需要一些背景知识。在培训中要注意你的语气——不要说教——不要发号施令。相反，要通知并尝试让你的受众跟上你的步伐——这比做起来要容易得多。如果用户在学习的过程中感到愉快，那是完全可以的！

Q: 有什么我们没有涵盖到但您想补充的吗？

A: 记住，你正在构建的是一个“系统”，所以你应该经历需求、设计、开发和测试阶段。在正式发布之前让真实用户测试内容和流程总是一个好主意——并且愿意接受批评。

Tess Schrodinger

Tess Schrodinger 在执法、调查、法证学（子弹和血液，而不是 1 和 0）以及工业安全领域有 20 年的经验。她拥有乔治梅森大学社会学学士学位，安全管理硕士学位，以及网络安全技术研究生证书。

Q: 感谢您参与这次问答。请告诉我们关于您自己的情况。

A: 感谢你邀请我做出贡献！

当我还是个小女孩的时候，我读过一本关于一个女孩收集各种应对危险情况的方法的书，这与后来出版的流行的《最坏情况生存手册》类似。学习所有这些有趣的技巧、窍门和方法来应对威胁生命或安全的情况，多年后，我仍然喜欢学习新的威胁以及减轻或消除它们的方法。所以，对我来说，学习如何逃离流沙和保护我的笔记本电脑一样有趣。而且，我喜欢与他人分享我所学到的知识。

我在法证学和安全领域有大约 15 年的经验。如果我中了彩票，我可能会退休“去上学”（在长时间的休息中探索世界）。我热爱学习，也热爱教学和分享。我在我退休的父母的帮助下给我的女儿上家庭教育，几乎整个人生都是教育和安全意识的倡导者。

Q: 在您看来，信息安全意识计划包括什么？

A: 在我看来，一个信息安全意识计划如果是有计划的、连贯的，并且针对特定受众，那么它就是真正强大的。

“计划”意味着这不是偶然事件或事后想法。一个有计划的项目将有明确定义的目标，一个明确的焦点，以及一个特定的受众或一组受众。计划还意味着这不是对强制性合同要求的懒散半吊子回应，这种回应最多只能勉强达到期望，或者只是“敷衍了事”。

“持续性”意味着不是一次性事件，比如一个初次的安全简报，多年后被彻底遗忘了。材料会反复出现，并测试员工是否在保留或从项目中获得价值，并根据您对影响的评估调整方法。我参加过一个关于如何创建安全意识项目的课程，其中有一件事情被反复强调，那就是你必须告诉某人十次才能让他们可能记住一次。我一直把这个建议放在心上，所以我不只是一次涉及一个话题，我会多次涉及它，但通过重申相同的信息并改变演示方法来保持新鲜。

“特定受众”意味着材料和演示是针对受众量身定制的。在呈现材料时，要考虑到他们的教育水平、背景和当前的职责。虽然“一刀切”总比没有好，但并不是最佳方法。当我与由程序员和网络专家组成的团队坐在一起时，我不会使用与一群行政助理一样的演示。我可能传达的是相同的信息，但我需要用他们的语言、到达他们的水平，并将材料放在一个对他们有意义的背景中，这样他们就不会对我置之不理。

Q: 建立自己的项目的原因是什么？

A: 在我的领域，有一个合同要求提供最低水平的安全意识和教育。我本来也会这么做，但我得承认，我曾利用“强制性”这一点来“激励”一些不爱学习的人参加。

Q: 你如何说服管理层支持你的项目？

A: 我的管理层了解项目的合同要求，对项目相对支持，但在过去几年中确实出现了预算问题，这影响了项目。

多年来，我发现当你和领导或管理层交流时，你通常在与那些不太关注安全而更关注资金的人交流。我认为，能够将忽视对用户进行教育的风险转化为金钱金额并学会向他们说明投资回报率（ROI）是至关重要的。

我曾经与一家公司的总法律顾问密切合作。他是一个非常忙碌、非常聪明的人，但大部分时间，他并没有看到教育我们员工的价值。他不反对，但也没有意识到这是值得努力的。有一天，我和他坐下来，把一对手铐放在桌子上。他抬起眉毛看着它们，我解释说，如果我们按照我的建议去做，他很可能不会很快穿上它们出现在 CNN 上。突然间，他意识到了价值所在。对他来说，这并不是金钱起了作用，而是如果他疏忽大意可能会面临的法律指控或逮捕。

管理层来自不同的背景，有时受到不同的议程的激励，但我发现如果你能向他们传达员工教育的价值，他们会明白并且支持你。在那次手铐事件之后的几年里，我的总法律顾问经常把我介绍给人们：“是那个让我远离监狱的女人！”

了解商业思维方式。学会如何将员工教育的价值转化为他们能理解的语言，不仅在教育他们时，还要在争取领导支持和资助安全意识工作时。

问：为您的组织建立信息安全意识计划最大的挑战是什么？

答：我必须教育各种各样的员工。他们从清洁工到高度技术的工程师类型不等。我很早就意识到我必须调整我的方法。向一个几乎不会说英语的现场供应商传达基本信息，与向一个非常忙碌的工程师传达相同的信息会有所不同，他们已经觉得自己什么都知道，不愿浪费时间听我说什么。

我也发现，对于那些不生活在我们这个世界的人来说，安全可能特别枯燥乏味。用户经常无法意识到他们可能成为目标，他们通常对围绕着他们的威胁或他们自己行为可能带来的漏洞毫不知情。安全通常也会打破他们正常行为模式，所以他们被要求做出的改变对许多人来说可能在精神上或身体上都不舒服。再加上新威胁和攻击向量出现的惊人速度，这足以让一些人举起手来放弃。当涉及与技术相关的安全时，我听过很多人说他们根本无法跟上，甚至不知道如何开始或者跟进，所以他们决定什么也不做。

问：预算是一个问题吗？

A: 我很幸运有一个小预算，但它肯定已经被削减了，老实说，我经常用自己的钱来补充，因为我觉得这很重要，而且我已经看到了足够的投资回报，我对贡献感到不错。我经常会购买一些零食或者拿一些小奖品去送给那些参加我的简报的人。去年我拿到了一个星巴克的卡，或者去年我花了 8 美元买了那些带着间谍对间谍小人的迷你书，然后在我的每月简报中送出了一个。我曾经计算过，对我个人来说，花 8 美元值得，因为我不必为了清理他们的烂摊子而过夜或周末留下来，因为他们不知道如何做得更好。

Q: 需要克服哪些政治障碍？

A: 处理所有组织通信的小组是最令人沮丧的。我曾经遇到过这样的情况，我为我的团队准备了一整套一年内要使用的电子邮件消息，然后那个小组让我改变横幅中绿色的色调。虽然我理解一些需要从 508 合规性的角度进行的更改（这是我最近学到很多的东西），但是他们要求的许多更改没有任何道理，一次又一次地不断地不断地重新制作教育材料，对于许多小的更改感到非常沮丧。

许多年前，我提出了一份有关主动射击者简报的建议，但被禁止执行，因为“可能会让员工感到害怕”。我更觉得，如果被困在我们的设施里，面对一个主动射击者而不知所措会更可怕，但他们忽略了我。有时候很令人沮丧，当一群与安全毫不相干且对安全一无所知的人突然决定要去改变你的内容或彻底禁止它时。但是，我已经学会了灵活应对，也学会了以不需要一群红笔挥舞的人正式批准的方式传达我的信息。有时候我确实需要和他们打交道并获得正式的批准，所以我试图在我所了解到的他们的参数内工作，但如果可能的话，我会尽量避免。

Q: 用于衡量信息安全意识计划成功的指标有哪些？

A: 在我看来，员工报告是我用来衡量我的计划成功的最重要的指标之一。当我第一次接管我的站点时，基本上没有任何关于任何可疑行为或安全问题的报告。几年后，我可以拿出我的员工提交的可疑行为报告和个人报告的厚厚的文件夹，以及我转发给我的可疑电子邮件的几个文件夹。

我认为我意识到自己产生影响并且人们在倾听的时刻是当我们 IT 部门的负责人向整个组织发送了一封电子邮件要求做某事，几乎我的所有员工都拒绝做，直到我确认他的电子邮件是合法的，而不是“把戏”。就在那之前的一周，我告诉他们关于人们如何可能黑进高级领导人的电子邮件账户或发送看起来像来自重要内部部门的电子邮件。实际上，我有一个项目经理告诉他的整个团队等到他得到我的确认之前不要做任何事。虽然不得不在接下来的 24 小时内处理数百个焦急和担忧的电话和电子邮件非常令人恼火，但也很棒看到有多少人注意到并将他的电子邮件转发给我，并附上类似于“我记得你告诉我们的那些内容，我不会做这件事，除非你说可以！”的话。

另一次，我给我的一名员工发送了一封电子邮件，请求一些我需要的信息。我最近刚刚做了一次关于社会工程的简报，有一部分我想知道他们是否会质疑，但往往你会觉得没有人在听你说话，所以我没有多想。当他们回复说他们很乐意为我提供那些信息，但他们想确保我就是我所说的那个人，所以请问我儿子的名字。我没有儿子，我有一个女儿，所以我微笑着回复他们正确的信息，并且还纠正了他们关于我男朋友的另一条评论，当时他在海外，他们知道他在哪里，但故意问他在另一个完全不同的国家里享受他的逗留。他们为“质疑”我道歉，因为许多高级领导类型经常在受到挑战或质疑时感到愤怒，但我赞扬他们注意到并停下来质疑我的请求。我有很多类似的情况，我觉得报告指标才是真正显示我的计划效果的地方。

问：在建立信息安全意识计划过程中，您遇到了哪些失败和陷阱？

A: 在敲打我坐在的桌子的木头后，我可以自豪地说，我在建立我的项目时确实没有遇到过任何失败。有一年，几乎有一场飓风差点摧毁了我的一个活动，但我们设法避开了。再次，陷阱在于处理那些认为他们应该在批准我的材料中扮演一定角色的人，但他们并不理解，似乎决心通过坚持一系列编辑或更改来证明他们自己的工作，并且认为这些材料太可怕或潜在冒犯性，不适合向员工展示。说到潜在的冒犯性，我指的是他们不断需要消除每个项目的各个方面。我曾经，我没有开玩笑，重新格式化了一整个系列的电子邮件通讯，以满足他们的要求，要求所有电子邮件都使用 Arial 字体而不是 Times New Roman。我做出了所有的改变（由于格式的原因，这不是一个快速的高亮显示和更改），我以为我完成了。他们花了两个半星期的时间才回来坚持要求我将 Arial 字体从 11 号改为 10 号。那时我不得不进行我的“停工”之一，并去星巴克，以免在工作环境中发表不适当的评论。

Q: 什么样的培训周期对一个项目最好？

A: 我的个人培训周期包括以下内容：

员工开始工作前的初始安全简报。这通常是在第一周完成的，但有时我会灵活安排，并与他们协调，以适应他们所在的特殊项目。我已经在酒店大堂、汽车、酒吧和其他地方向员工进行了简报。我在我的 iPad 上保留了我的初始简报的副本（不包含任何敏感或专有数据），并确保我与我的项目经理密切合作，确保每个人都及时接受简报，并且他们的第一次简报是深入和彻底的。
每月选择一个主题，并制作一个简短的演示文稿。我的大多数员工都非常忙碌，没有太多的空闲时间来阅读或审查大量的材料。我会使用定制的图形作为电子邮件签名，链接到我的内部网络站点，他们可以在那里查看当前和过去的材料。对于那些不在现场或在偏远地区工作的人员，我会通过电子邮件发送演示文稿。每年，我都会为所有员工举办一次安全复习简报，提醒他们他们的责任，更新任何新的威胁或关注的方向，并教育他们任何新的法规或要求，他们需要注意或即将出现的。
每年选择一个主题，通常我会围绕这个主题进行一系列月度午餐讨论。如果你每年只提供一次关于某个主题的简报，那么只有能参加那次简报的人才能参与。相反，我会每月选择一个星期五，在午餐时间提供一个简短的讲解，让人们可以参加。这样，他们不再只有一年一次的机会来参加简报，而是有了十二次的机会。
每年一次的大型安全意识日活动。我通常会邀请几位演讲者并安排提供午餐。我会尽量确保演讲者有趣并且讲的内容有趣。有很多资源愿意来和你的员工交流；你只需要提出请求。
针对特定的当前关注点或已经出现的威胁的一次性特别简报。

Q: 你的计划使用了哪些学习和教学方法？

A: 我尽量让我的安全教育有趣和有趣。我办公室里挂着各种与安全有关的电影海报。装饰？当然。但他们也引发了对话。如果你让某人谈论他们感兴趣的事情，你通常可以以相关的方式将安全引入讨论中，这样讨论就会有意义，而且他们真的在倾听，因为他们在谈论他们喜欢的事情，而不是在会议室前你在讲话时挣扎着保持清醒。我可以在任何话题上插入安全话题，从《星际迷航》到《詹姆斯·邦德》到《神秘博士》。

我还在办公室里放了书和不同的漫画，试图与人们建立联系。当他们进来时，他们不禁会扫视我的书架，通常会有一本书引起他们的注意，并引发问题或建议。我负责教育超过 400 人，我知道谁喜欢运动，谁是吃货，我知道谁是“迷航”迷，谁更喜欢《星球大战》。我知道谁是前军官，谁是执法人员。随着我了解员工或他们的喜好，我会尝试根据他们来定制我的培训。一个例子就是最近的三月疯狂。不冒犯，但我对篮球一点也不感兴趣。但是，我的办公室里的人对此非常兴奋。我想到了三月安全疯狂的主意，并围绕这个主题做了一个完整的篮球主题，包括一个可疑行为举报的比赛表，供他们挂在他们的隔间里。

海报是一个很好的工具，我在我的不同设施周围使用它们，定期更换它们，以免变得无聊。有很多免费的海报资源在线，你也可以浏览谷歌图像搜索“安全教育海报”，并根据那里找到的想法制作自己的海报。我经常看到一个海报的想法，然后根据我的现场或主题对其进行定制。

我的很多同事都很忙，所以我尽量让我的教育简短而甜蜜，除了最初的简要介绍，当我有他们一个小时的时间或者在我的年度宣传活动期间，我可以安排一些更长的简报或演讲。

我试图保持事情“性感”。幽默感很重要，但要保持得体，这样你就不会因为冒犯人们而与人力资源部门产生问题。我发现一些押韵和相对适合小学年龄水平的东西通常对工作场所来说是相当安全的。

在宗教节假日期间，我会尊重一下，选择一个季节性主题，比如“冬天”或“春天”，并避免使用“圣诞节”或“复活节”。大亮眼的吸引人的颜色可以走得很远，而卡通和视觉效果通常可以以更有趣的方式传达一整页的要点。想想与那个季节相关的事物。例如，我曾经在圣诞节假期周围做了一个关于 TRASHINT 的作品，并指出了人们在礼物打开后扔掉的盒子中能了解到什么。我实际上是在前一年为此做准备的，当时我在我的社区拍了一些人们把垃圾放在路边的照片，然后张贴了照片并询问：“你会抢哪个房子？”或者“谁有哪台笔记本电脑、路由器或游戏系统？”

在每个设施里，我都放置了一个专门用于安全意识教育的大布告板。每到新年，我都会坐下来挑选我想在当年讲解的十二个主题，并想出一个与每个主题相关联的主题。我会创建一个与该主题相关联的电子邮件签名，然后在布告板上张贴我创建的一个小短牌组的打印品。通常，这些都是漂亮的幻灯片，因为那是我可以放在布告板上的东西，每行三张，每列三张。有时，我会去派对商店买卷装包装纸或那些便宜的纸板剪影来装饰一下布告板或者吸引所有人的注意力。如果你自言自语地认为这听起来可疑地像是小学教室里的那些布告板，那么你是对的！这个想法只是针对更成年的观众！

一旦我张贴了这些布告板，我就会把 PowerPoint 演示文稿上传到我们公司内部安全网站的公司内部安全网站上，并将电子邮件中的签名图片链接到它。这样，我远程工作或在遥远的州内上班的人员也能接触到这些材料。

每年一次，我会举办一次安全意识日，邀请演讲者和内部供应商与我的员工交流。在这样的自愿活动中吸引听众可能有些困难，但我发现提供食物，无论是爆米花、杯子蛋糕，或者偶尔获得预算批准提供午餐都会有帮助。我尽量邀请那些我之前听过演讲并有有趣信息的人。甚至不一定要与安全有关，但如果我知道我的员工对某个主题非常感兴趣，我会尽力邀请相关人士。有一年，我设法邀请了一位来自当地机构的测谎仪检测员，他花了将近两个小时详细解释了过程和设备，然后给各种人接上测谎仪，并教会整个听众如何与他一起解读结果。当时场面绝对是人满为患，但许多人在之前的简报或之后的简报中都来了，所以这不一定是我需要提供教育的主题，但我知道他们会感兴趣。

我还努力邀请其他安全专业人士参加我的大型活动。我会走遍整栋大楼，与每个企业的安全人员或部门交谈，然后邀请他们前来。当他们在场时，我会确保将他们介绍给我认识的人，并帮助他们建立新关系，以加强他们的安全计划。

许多联邦和地方机构有公共或商业联络员，他们会免费演讲，因为这是他们工作的一部分。我是一级和二级认证的反恐官员，可以就这个主题进行简报，但对于我的所有员工来说，我只是“特丝”，并不是很令人兴奋。但是，如果我带来一个持枪和徽章的陌生人，突然间，就好像我带来了一个摇滚明星，用令人兴奋的信息和故事来吸引他们！我们可以呈现完全相同的材料，但当我带来一个陌生人来做时，情况就不同了。我利用这一点，利用它来激发员工参加讲座的热情。

Q: 对于其他正在建立自己计划的人，你有什么建议？

A: 市场营销。你必须向你要教育的员工以及你要获得支持和资金的领导展示自己和你的计划。花些时间了解市场营销人员如何使用颜色、主题或想法来吸引注意力和传达信息。不要指望你的员工只是因为你告诉他们而去阅读。让他们想要阅读。

要有创意和趣味。想想你喜欢如何学习。你是更愿意听我唠叨个没完没了为什么我们要佩戴工牌和报告无人陪同的陌生人，还是更愿意我张贴几张海报，然后奖励那些“捕捉”我们空间内无工牌的陌生人并将他们交出的人，用星巴克礼品卡或巨大的糖果棒？（是的，我两种方法都尝试过。）

要易于接近。多年来，我发现安全领域的许多人对用户的态度就像对待白痴一样，他们可能会有意识地或下意识地感受到这种氛围。成为他们可以交谈的人意味着他们也更有可能听你的话。记住，这不是他们的工作，他们也没有像你一样受过教育。对你来说，当你离开座位去洗手间时锁上电脑似乎是一件非常简单的事情，但是请想象一下一个年长的行政助理的处境，他们对 Facebook 仍然感到有些不知所措（就像我的妈妈一样），甚至连这么简单的事情都没有意识到。许多人心地善良，并不像对手或坏人那样思考，所以对他们来说，认为有人会偷他们的东西或使用他们的系统做坏事是很陌生的。没有必要恐吓他们，让他们屈服，但这是你在教育他们如何保护自己和企业安全时必须牢记的事情。不要只告诉他们该做什么，告诉他们为什么要这么做，以及如果他们不这么做会发生什么。然后，用故事和案例研究来强化这一点，让他们真实感受到，而不只是“那些詹姆斯·邦德电影中发生的事情”。

奖励他们！是的。奖励他们。当他们表现良好时，给他们一个鼓励。必要时要支持他们。最近，我有一个年轻女性，她对我的组织非常新，有一天，一个老练的老人在她忘记携带工作证的时候试图和她一起进入设施。他对她提出质疑，对她大发雷霆。她的老板让我说点什么，我也说了。我确保向整个现场发出了一封电子邮件，称赞她对试图进入我们网站的陌生人提出质疑，并且她做了正确的事情。然后我和那个对她大喊大叫的人谈了谈，最后他向她道歉了。

另外一次，一个前台接待员来找我，关于有人试图进入我的服务器房间的问题。一开始，我很惊讶她甚至注意到这很奇怪，但把它与服务器房间联系起来真的让我感到惊讶。我检查了一下，确实……有值得关注的地方。我为她感到骄傲，所以我向整个团队和她的老板发送了一封电子邮件，表扬她发现的问题。我请一些高级领导亲自过来她的办公桌感谢她，并对她表示赞赏，我还提名她获得一个小型内部奖项。后来她告诉我，我让她感觉像一个超级明星，但这也强化了她想要做好工作，为团队做好事情的愿望。成年人，就像孩子一样，通常对积极的强化作出更好的反应，而不是消极的惩罚，所以我鼓励你们要认可你们的员工，无论是向团队发电子邮件，正式写信给他们的老板，提名他们获得奖项，还是简简单单地到他们的办公室说：“谢谢你。”

Q: 自己构建程序相比从供应商购买预先构建的信息安全意识程序有什么优势？

A: 这对我来说是一个难以回答的问题，因为我从未从供应商那里购买过预先构建的安全意识计划，所以我真的无法做出这种比较。相反，我会说我不从供应商那里购买安全意识计划的原因如下：

成本。我不介意购买一张$20 的星巴克卡片送给那些参加我的简报的幸运用户，但我没有预算购买正式的预先构建教育产品，也不会自掏腰包支付。
这是一个一刀切的解决方案，我无论如何都必须进行定制，或者额外付费进行定制。
你只能接受他们给你的东西，如果你不喜欢，那就只能这样了。
我有技能和资源可以几乎零成本地创建自己的产品。

如果选择是购买预先构建的产品和根本没有任何安全教育之间，毫不犹豫，购买吧！但如果您具备技能和一些创造力，并且喜欢教导他人，我认为自己动手并没有明显的劣势。

Q: 在构建信息安全意识计划中您遇到的成功是什么？

A: 我最大的成功之一是看到越来越多的人向我提出关注、问题或寻求指导。

Q: 您对那些正在构建自己的信息安全意识计划的人有什么建议？

A: 尊重您的受众。了解他们知道和不知道的事情，并征求他们的反馈意见。不要对他们说教或傲慢。尽量保持简短以尊重他们的时间，但又足够全面以传达信息。请记住，虽然您的工作是教育他们，但他们可能不认识到学习也是他们的工作。我发现，如果您让事情变得有趣或有趣，会更吸引他们，让他们愿意倾听并建立联系。不要让安全成为另一项琐事，让它成为他们想要做的事情，或者至少不要“讨厌”做的事情。显然，总会有那么一个人对一切都感到厌恶，但我发现这在一般情况下效果很好。

Q: 有什么我们没有涵盖但您想要补充的内容吗？

A: 在我的世界中，分享是一个非常重要的事情。我们中的一些人擅长想出想法或材料，而其他人确实很难做到。我注意到的一件事情是，这个社区中有那么多的人都乐意与你分享他们的材料。如果你是其中之一，那我鼓励你在有能力的情况下进行分享。虽然我尊重那些试图靠出售安全意识材料谋生的人，但并不是每个安全计划都有这种成本的奢侈。而且有些计划根本没有预算。与安全社区联系，你会发现他们通常很乐意与你分享资源和材料。

一家网络安全公司的安全分析师

这位受访者因为在国防工业中的工作而选择保持匿名。

Q: 在你看来，什么构成了信息安全意识计划？

A: 信息安全意识计划涵盖了组织信息的全部内容。它涵盖的远不止计算机安全。它涵盖了雇员如何处理他们对组织的大脑中的信息，以及他们在日常工作中提供的或被提供给他们的关于组织的信息。这不仅包括从计算机到电话的任何东西，还包括在餐厅等公共场所讨论组织信息这样平凡的事情。

Q: 为什么要建立自己的计划？

A: 在我在不同的美国国防部（DOD）组织中工作期间，如美国国防部依赖学校（DoDDS）、国防后勤局（DLA）或美国陆军，信息安全意识一直是一项持续的工作。虽然 DOD 有一个总体的意识计划，但最好是定制和针对不同类型人员的不同意识水平进行定制。系统管理员、将军助理、学校校长或 K–12 教师需要具有的意识大相径庭。

在美国国防部（DOD）内部，也存在着操作安全（OPSEC）和反情报（CI）意识计划。在许多方面，这些计划存在重叠，因为获取雇员知道或可以访问的信息正是对手试图获取的内容。

Q: 你是如何获得管理层的支持的？

A: 由于这是美国国防部的一项强制性培训，因此无需获得管理层的认可。最困难的部分是跟踪完成年度培训要求的员工的百分比。即使有一个自动跟踪这些数字的系统，百分比也会随着员工的入职、退休或离开组织到其他地方而波动。让管理层接受这些数字会波动，并且在一个总是在变化中的大型组织上在某个特定日期实现 100%的完成率是不可能的，这是很困难的。

Q: 在为您的组织建立信息安全意识计划时，您遇到的最大挑战是什么？

A: 为了向员工传达这种培训的必要性，并跟踪已接受培训的员工百分比以供管理报告。人们花了很长时间才理解这种培训的必要性，但一旦展示了现实世界的例子，人们就明白了培训的必要性。

Q: 预算是一个问题吗？

A: 不，预算并不是问题，因为培训适用于所有国防部门的人员。

Q: 需要克服的政治障碍是什么？

A: 最大的政治障碍是员工和管理层都表达的“又一个年度培训要求”综合症。

Q: 用于衡量信息安全意识计划成功的哪些指标是有用的？

A: 已完成培训要求的员工人数。组织进行持续的随机测试也非常有用，让一个团队执行钓鱼、电话社会工程或尝试物理访问测试，以确定员工是否吸收并实际应用了培训中传达的信息。成功的关键是在几年内跟踪这些指标，并展示改善的趋势。就像交通事故一样，它们会发生，目标是持续向下的趋势。

Q: 在建立信息安全意识计划时，你遇到了哪些失败和陷阱？

A: 尽管员工接受了有关钓鱼的意识培训，但仍然有许多人成为受害者，并放弃了登录凭据。我认为意识培训是必须进行的，没有安全意识计划会使情况变得更糟，因为这等于承认失败。从另一个角度看，如果该计划阻止了针对人员的几次可能导致信息大规模或灾难性泄露的尝试，你可能永远不会知道这种成功，因为该计划在那种情况下是有效的。

Q: 一个项目的最佳培训周期是什么？

A: 这种培训每年都是必须的。由于国防部员工还必须接受与类似主题和内容重叠的培训，因此培训必须在 1 年内完成。这在在线学习管理系统中自动安排。员工在培训到期时会收到电子邮件通知。一些员工在被告知培训已添加到他们的学习计划后立即接受培训；其他人则等到收到 30 天通知。员工完成培训后，培训会自动再次安排，并设置一个距上次完成日期 1 年的到期日期。

Q: 你的项目使用了哪些学习和教学风格？

A: 由于员工数量众多，培训是通过基于计算机的培训提供的。培训材料每年都会更改，并且在整个国防部都是统一的。安全意识计划的其他部分总是通过面对面的由讲师主持的会议进行，比如 CI 意识培训。

Q: 对于其他正在建立自己计划的人，你有什么建议？

A: 要有创意！这个计划需要超越仅仅是又一个年度培训要求。这包括从悬挂在公共区域的意识海报到在由讲师主持的培训会议中回答问题赢得咖啡店 5 美元礼品卡。你基本上是在向目标受众推销这些信息；如果你不能吸引他们的注意，你就无法取得多少成就。

Q: 与从供应商购买预先构建的信息安全意识计划相比，自己建立计划的优势是什么？

A: 定制！虽然你可以用额外的材料补充预先构建的程序，但如果使用预先构建的程序，信息可能不完全符合你的组织需求。最好是从预先构建的程序开始，让你的意识计划起步，然后通过未来制作自己的有机材料来专门定制给你的组织。

Q: 在建立信息安全意识计划中你遇到的成功是什么？

A: 当人们发现意识培训既适用于他们的个人信息，也适用于组织的信息时，他们会看到参加培训的积极方面。一名员工对我说，有个陌生人在等公交车时走近他借他的黑莓手机打电话。员工拒绝了，因为感觉不对劲，当陌生人几分钟后拿出自己的手机打电话时，这种感觉得到了确认。

我经历的最大成功是制作了一个关于 802.11 无线网络对组织构成威胁的视频。当时我是德国曼海姆地区计算机应急响应团队（RCERT）的一员。我们使用停在沃尔玛停车场的一辆面向军事基地围栏内一栋办公楼数百英尺远的大天线的货车制作了这段视频。视频首先展示了我们进行无线网络漫游，检测接入点，然后停车利用无线网络攻击服务器的过程。

视频很值得记忆，因为除了人类之外，我们还在视频中放置了高达 4 英尺的充气外星人。其中一个坐在货车的副驾驶座上，一个站在停车场的天线旁边，另一个则目睹了服务器被攻击。尽管这个视频是为了欧洲的美国陆军人员制作的，但在全球范围内的所有陆军驻地都传播开来。它甚至被戈登堡的陆军信号学校采用。尽管这个视频完全是假的，军队网络从未受到任何威胁，但人们把外星人与无线危险联系起来的印象深深地印在了人们的脑海中。这个视频是在 2002 年制作的，多年后，人们一旦知道我在 RCERT–Europe 工作，仍然会问起这个视频。而且，现在它也出现在这项调查中！

Q: 对于正在建立自己信息安全意识计划的人有什么建议？

A: 要有创意！该计划需要超越仅仅是另一个年度培训要求。你实质上正在将这个计划推销给目标受众；如果你不能吸引他们的注意，你就不会取得太多成就。如果你的组织有一个销售部门，利用该部门内的人才制定营销策略。如果你有公共关系人员，向他们征求如何最好地触达你的受众的建议。记住，许多人每年只会记住超级碗比赛的几个亮点和那些 30 秒的广告片段，你的计划需要有一些信息安全的关键要点，人们会记住的！

Q: 还有什么是我们没有涵盖到但你想要补充的吗？

A: 不。

Ernie Hayden

Ernie 是一位经验丰富的技术顾问、作家、演讲者、战略家和思想领袖，在电力公用事业行业、关键基础设施保护/信息安全领域、工业控制系统、网络犯罪和网络战争领域拥有丰富的经验。他主要关注涉及工业控制、智能电网、能源供应以及石油/天然气/电力系统和设施的项目和业务发展，特别擅长工业控制和 NERC 关键基础设施保护（NERC CIP）标准。Hayden 曾担任 Verizon 全球关键基础设施/工业控制安全总经理，在西雅图港口、Group Health Cooperative（西雅图）、ALSTOM ESCA 和西雅图市电力公司担任信息安全主管/经理。2012 年，Ernie 被 SmartGridToday 评为“智能电网先锋”，并在 Jesse Berst 的 SmartGridNews 上发表了一篇关于微电网安全的文章。Ernie 经常撰写博客、观点文章和白皮书。他曾被《金融时报》、《波士顿环球报》、《EnergyBiz Magazine》和《普吉特湾商业杂志》引用。他的许多文章已发布在 Energy Central、Public Utilities Fortnightly 的“SPARK”以及他自己关于基础设施安全的博客等论坛上。他是www.searchsecurity.com“专家问答”讨论的受邀专栏作家，并在 Public Utilities Fortnightly 杂志上发表了一篇关于电网安全与合规性的文章。其他思想领导力文章包括牛津大学出版社《网络犯罪和安全法律系列》中关于“网络犯罪对信息安全的影响”的一章，以及《信息安全杂志》中的几篇文章，包括他在数据生命周期安全方面的原创研究和该杂志中关于数据泄露的一篇文章。Ernie 在全球安全论坛中是非常活跃的贡献者。他曾是云安全联盟的成员，在云安全指南文档第 2 版中担任信息生命周期领域的领导者。他还曾是华盛顿大学西雅图信息系统安全证书项目的讲师、课程开发者和顾问。

Q: 在您看来，信息安全意识计划包括哪些内容？

A: 信息安全意识计划的关键点在于让普通员工成为信息安全计划的第一道防线。换句话说，他们需要意识到他们的行为（或不作为）可能导致数据泄露和公司安全问题。因此，他们需要明白自己的角色是公司安全的日常眼睛和耳朵。

Q: 建立您自己的计划的原因是什么？

A: 我曾担任过四个 CISO 职位的相当于职位——每个职位都是每个公司的第一个真正的信息安全经理。因此，我需要为每个公司实施的安全计划真正是一个创业公司。我在每家公司都包括了某种形式的安全意识计划。

我之所以这样做是因为，如上所述——我认为每个员工都是公司信息安全防御的第一道防线。因此，他们需要理解自己的角色，需要知道如果他们看到可能表明正在进行信息安全问题的问题时该怎么做。

Q: 你是如何让管理层支持你的计划的？

A: 管理层的支持相对容易，因为管理层本来就想要一个安全意识计划。但是，当管理层担心信息安全成为“警察职能”时，管理层造成了一些挑战，然后在一个公司，管理层非常强硬地阻止了该计划，直到它被修改为止（例如，如果一个未被监视的桌面被解锁，则在椅子上放置便条被视为过于“警察职能”，需要停止）。

Q: 你在为组织建立信息安全意识计划时遇到的最大挑战是什么？

A: 最大的挑战是时间：开发计划所需的时间，开发演示所需的时间等等。这是最大的问题，因为所有四个安全意识计划都是按照“游击营销”的概念建立的——基本上是快速、廉价和有效。这让我无法完成其他工作。

Q: 预算是一个问题吗？

A: 预算是一个问题——没有资金支持“正式”的安全意识计划。但我可以拿到一些资金来做一些小事情，比如我设计和制作的简单传单和海报。但是，由于资金不足，不能购买任何外部的安全意识产品。

Q: 需要克服哪些政治障碍？