企业如何开展社工安全意识培训

前言：

许多安全顾问建议企业把所有的时间和金钱都投入到硬件和软件解决方案上，但实际上，社会工作者会让这些失去价值。当“坏人”使用社会工程方法时，我们通常不知道。

顺便说一句，惩罚不是一个好办法。相反，通过培训提高员工的安全意识是员工在发现或挫败社工袭击企图时奖励他们的一个好方法。

安全意识和培训从来都不能做到十全十美，所以一定是需要使用安全技术来建立一个深度防御系统接到信息请求时的响应过程。

请求执行一个操作时的响应过程

理解培训

理解攻击者如何利用人的天性 ，理解为什么人总是容易受到攻击，在培训中将这些倾向一一标注出来， 比如通过一些生动的例子亦或者与其互动加强员工的意识。

为培训制定安全意识计划，只向员工发送信息安全策略手册，或引导他们进入详细介绍安全策略的内部网页，这本身没有实质性影响。该计划的制定需要大量支持，公司必须有足够的资源支持该计划。同时，该安全意识培训计划的基本原则是“该计划的核心思想是让所有员工都意识到自己的公司随时可能受到攻击”。

同时，培训计划需要坚持和改进。分析具体情况，制定不同的培训内容，满足企业内部同步小组的具体需求，使信息安全培训意识的培训过程成为一个有吸引力的互动过程。例如，通过互动展示社会互动的方法，回顾最近被社工攻击的一些企业，通过一些视频案例相互展示，讨论哪些措施可以避免损失，或者采购培训公司的安全意识培训。

如何开展培训

针对全体员工进行普及性社会工程学科普，并传达信息安全工作制度，信息安全保密制度。

针对销售、运营、客服、市场进行针对性科普和培训，并着重解释社工的攻击方式、人性的弱点 等。

针对计算机管理员、程序开发者、运维人员、测试人员等计算机程序工作者进行重点培训，强调其 按照信息安全工作制度工作重要性，遵守信息安全保密制度的重要性。

针对企业中层管理员进行社会工程学培训。

如何制定内容

制定培训的内容则需要实际情况实际分析了，根据所在企业的氛围，人员群组。一个务实的、考虑到人 类行为和社交工程因素的信息安全意识和培训计划应该包括一下几点：
一、一份关于攻击者如何利用社会工程学技巧来欺骗别人的描述。

二、社会工程学工程师为达到自己目的所采用的方法有哪些。

三、如何识别可能的社工攻击。

四、处理可疑请求的规程。

五、如果发现了社工攻击企图或已经遭到了得逞的攻击，向何处报告。

六、对提出可以请求的人加以质问的重要性，不管这人声称自己的职位是什么，或者他（她）的请求有 多么重要。

七、未经适当的身份验证以前不能轻信别人，不能因为一时冲动，而在尚未证实 的情况下相信对方； 对于任何一个提出请求来索取信息或者要求完成某些操作的人，验证其身份和权限的重要性。

八、保护敏感信息的规程，包括任何数据分类系统的知识。

九、从哪里能得到公司的安全政策和规程，以及这些场所对于保护信息和公司信息 系统的重要性。

十、对关键安全政策的一份简要概括，以及对这些政策的含义和解释。比如。应该指导每个员工如何设 计难以猜测的密码。

十一、每个员工遵从安全政策的职责，以及违反政策后果。

如何判断安全是否生效

可以尝试定期或不定期使用社工的手段对企业员工进行测试[参考企业如何防护社会工程学]，考试类的 操作意义不大。

持续的安全意识

安全意识培训应当是持续性，这个持续性不一定是局限于培训的模式，它可是多种多种的可持续性。例 如可采取的措施包括但不限于如下：

一、将措施内容定制成册发给每位员工。

二、公布优秀安全员的照片。

三、在员工区域挂海报。

四、在公告牌上贴出安全告示。

五、在工资单上附加安全提示材料。

六、通过邮件发送安全提示。

七、使用与安全相关的屏幕保护。

八、通过广播进行安全提示。

九、登录计算机时显示提示信息，比如显示： “如果你要在邮件中发送机密信息，请加密”。

十、将安全意识作为员工的业绩及年度考核。

十一、制作具有吸引力、贴合生活、幽默的安全提示。

十二、在员工食堂加上安全提示。

十三、举行安全意识小活动，在下午茶，某些活动时附加上安全意识宣传语。

十四、总之威胁是时刻存在的，所以安全提示也要经常出现在员工的周围。