員工正快速成為防範網路犯罪的過程中最弱的一環。有時候常識所發揮的效果相當有限,因為你需要確保關於安全的最佳作法不會被當成耳邊風。無論是員工犯下無心之過還是由於接觸機密資訊而淪為下手目標,員工的過錯很容易導致惡意軟體肆虐或資訊竊取的情況發生。

成功的攻擊通常涉及未嚴格執行的程序以及利用員工的習慣。為了縮小組織的威脅面,定期員工培訓的重點必須從反應轉為預防。純粹以合規為目標的作法對於組織的員工安全培訓而言已然成效不彰,通常是由於培訓毫無趣味或個性化不足,無法吸引員工注意。企業應該著重於教育員工如何保護個人數據,因此鼓勵員工在工作場所採取更進一步的安全作法。

員工培訓可以採取不同的形式,包括增加使網路安全教育計劃「遊戲化」的方式。遊戲化會在非遊戲的內容中加入遊戲機制,對於可能比較無趣的其他活動運用遊戲的趣味性產生成效。採用競賽和獎勵方式的遊戲化計劃愈來愈普遍,因為各行各業都可以採用這類計劃。

許多企業目前在客戶互動以及員工教育和培訓之類的許多方面採用遊戲化的方式,達到提振績效和工作動力的效果。遊戲形式包括一對一競賽、獎勵計劃等等。

業務經營者可透過兩種重要的方式,運用遊戲化解決組織的網路安全問題:

1.提高培訓對於員工的趣味性和吸引力

採用遊戲化的方式有助於企業透過多種方法改善網路安全,包括讓員工瞭解如何避免網路攻擊和掌握軟體的弱點。

全球顧問公司資誠透過其「威脅遊戲」宣導網路安全。[1] 主管們在實際的網路安全狀況下進行競賽,分別扮演攻擊者和防禦者。攻擊者可選擇攻擊的策略、方法和技巧,防禦者可擬定 (防禦) 策略,並運用正確的技術和人力因應攻擊。這一遊戲能夠讓主管們瞭解如何準備和因應威脅、公司的準備情況,以及網路安全團隊每天面臨的狀況。

遊戲化能夠使培訓過程更富有趣味,提高員工的熱情,增強員工對於網路安全作法的意識,包括瞭解如何正確因應攻擊。

2.提供激勵和獎勵來鼓勵所期望的行為

大多數安全漏洞主要是人為疏失所導致,由於員工有依規定的期限盡速完成工作的壓力,因而可能導致忽視重要的公司安全政策。

例如,舉辦所謂的 PhishMe 活動,在為員工提供電子郵件安全培訓時是一種很好的方法。其中包括在組織內部定期發送網路釣魚電子郵件,藉以測試員工所採取的反應和行動。

企業可透過遊戲化獎勵採取安全程序並遵循正確安全準則的員工,藉此鼓勵良好的行為。為此可採取讓員工獲頒獎章或獲得積點的方式,並且在計分板上記錄,使整個辦公室的員工有遵循的依據。在一些組織中,員工達到特定的階段目標後,會獲得實質獎勵,例如禮券。

這套系統也能夠發現在遊戲化中表現不佳的員工,並可以讓這些員工進行更多的網路安全培訓。對於處置得宜的員工給予表彰和獎勵能夠引導持續的正確行為,鼓勵員工採取安全作法,營造更加安全的工作環境。

任何安全意識培訓的核心是教育員工對於所使用的數據以及在家中建立和使用的數據產生共同的責任感。所有的安全意識活動都應該持續舉行,不能夠舉行一次就了事。任何大小規模企業的領導人都可能在有時候感覺缺乏所需的資源,無法推展有效的網路安全教育活動,而舉行這種活動並不需要大筆經費。

  • 視覺輔助很有效。先從一些短片、海報和/或競賽著手,確實提醒所有人瞭解安全是每個人的責任。
  • 「敬畏神明」策略不可行。企業的目標應該是建立網路意識的文化,因此請將這類培訓視同行銷活動一般,目的在於說服員工改變自己的行為。
  • 簡明扼要最有效。一般人沒有耐心看完冗長無味的電子郵件。保持簡短有趣,而且務必始終採取由上而下的作法,讓領導者以身作則。員工會以領導者為學習的榜樣。如果領導者的舉止未遵循網路安全文化的要求,員工又何必遵循?目標是教育員工瞭解最佳作法,而非強迫員工成為網路安全專家。使過程充滿樂趣和歡笑,讓每個人能夠一同學習。
  • 加強和追蹤是關鍵。培訓是一个持續過程;需要從有效的作法之中學習和再教育。重新測試新舊員工是否未能正確處理網路釣魚電子郵件,並瞭解有多少員工仍然無法辨識偽造的電子郵件。鼓勵通報偽造的電子郵件,並呼籲進度可能落後的部門團隊跟進。目的不是針對個人,而是鼓勵組織內部形成一些良性的競爭。

消除任何業務中的網路風險是一个持續不斷的過程,但這個過程可以加以管理。我們需要讓員工在出現問題時能夠及時表達,並且視需要而再教育。如果員工在接受安全意識計劃的培訓後,能夠在點擊惡意內容之前多加質疑,那麼公司內部就會變得更安全。

[1] https://www.pwc.com/us/en/financial-services/cybersecurity-privacy/game-of-threats.html