网络安全意识：如何在全年推动

听说过“狗是终生伴侣，不只是圣诞节”这句口号吗？这句口号由英国慈善机构 Dog's Trust 提出，旨在让人们关注四条腿朋友需要的永久承诺。同样，虽然十月是网络安全意识月，但在您的组织中创建网络安全文化不仅仅是一个为期一个月的活动——请原谅我的双关语，它需要同样多的执着承诺。

当然，十月份关注网络安全是一件好事，因为有各种活动：行业专家举办的特别活动和网络研讨会，以及社交媒体上关于正确密码保护的大量帖子。但是一旦这个月结束，接下来会怎样呢？ 

在本文中，我将提供一份年度网络安全意识活动清单，您可以在 10 月后运行这些活动，以便在您的组织中创建真正的网络安全文化。

网络安全意识月后应立即做什么

1. 进行事后调查

网络安全月结束后，你应该做的第一件事就是问你的同事“你想知道更多什么？”进行调查，问问他们什么有效，什么无效，最重要的是人们想学什么。你可能会惊讶于你的意识活动对技能、知识和内部变革的新需求。如果不迅速跟进这些，你可能会失去动力。

2. 利用人们提升技能的愿望

我经常发现，在网络安全意识月之后，非 IT 部门的同事希望在与他们相关的领域接受更深入的培训。例如，财务团队可能希望更多地了解商业电子邮件泄露 (BEC) 攻击，以及他们可以采取哪些流程来提高自己的抵御能力。借此机会确保提高意识转化为改进的安全行为。

3. 制定未来十二个月的宣传计划（并告诉人们如何将学到的东西付诸行动）

如前所述，开展为期一年的安全意识活动是一个值得称赞的目标。根据国家网络安全联盟和CybSafe今年的网络安全态度和行为报告，尽管有一半的人都遵守五项核心安全行为，但仍有很大的改进空间。

请注意，仅仅提高意识是不够的。人们对意识培训的普遍抱怨是，它往往是理论性的和令人恐惧的，而不是提供人们如何真正改善安全行为的实用步骤。你应该确保在任何意识培训中为人们提供可操作的步骤。

做到这一点的方法之一是让其更贴近人们。当你谈论家庭和家人的网络安全时，大多数人会更加投入。值得庆幸的是，所有保护他们家庭的安全行为也有助于保护我们的组织。我的建议是专注于教他们个人及其家人可以做的实用事情，以及如何将其应用于工作环境。 

年度网络安全意识计划模板

请注意，该计划是为北半球的组织设计的。如果您的暑假是在一月份，请随意调整建议以适应您的同事当月可能考虑的事情！ 

十一月至十二月

年底充斥着“好得难以置信”的购物优惠，狡猾的商家试图利用假日季赚钱。警告人们这些威胁可以帮助他们保持网络警惕。鼓励他们记得检查电子邮件以防钓鱼，并考虑网站的真实性。 

一月至二月

对于美国、加拿大和大多数欧洲国家来说，新年伊始正是纳税季的开始。这意味着现在是警告人们警惕各种税务诈骗、冒充、退税和一般税务相关网络钓鱼的好时机。

这将有助于强化良好的安全行为，例如检查所有“钓鱼”行为：网络钓鱼、短信钓鱼和语音钓鱼。在税务管辖区允许人们使用 PIN 和密码保护其税务账户的地区，这种培训可以鼓励人们选择强凭证并避免凭证重复使用。 

三月至四月

每年三月，许多人都在考虑假期计划，因为他们要逃离许多地区持续的寒冬（或者想去滑雪度假）。这也是许多学校放春假的时候，所以家庭会抓住这个机会计划假期。

本月是提高人们对常见度假租赁和酒店诈骗的认识的好时机。这有助于加强验证网站来源的安全行为，并提醒同事，仅仅因为它在网站上，并不意味着你可以信任它！

五月至六月

五月是春天的尾声——这是整理和鼓励人们“春季大扫除”密码的绝佳时机。研究表明，许多人拥有十多个敏感密码，因此请借此机会提醒同事检查他们是否为这些帐户部署了适当的安全行为。他们可以通过以下方式做到这一点：

• 从密码升级到密码短语

• 确保每一个都是独一无二的

• 使用网站检查其电子邮件是否已被用于数据泄露（例如使用 Pluralsight 作者 Troy Hunt 的Have I Been Pwned网站）

• 启用 MFA（如果网站或应用程序提供）

七月至八月

随着夏季假期的到来，重点是让人们了解设备更新的重要性。你可以用一个（虽然有点俗气）比喻，即设备需要恢复活力，就像人们在努力工作后需要恢复活力一样，它们可以通过软件更新来提供这种活力。

现在许多人的家中都有物联网设备，因此您可以将其与他们如何更新摄像头和灯以在外出时保护房屋联系起来。重点应放在确保设备软件更新上，最好是自动更新，但您也可以强调更改设备默认密码的行为。

在这里谈论工作设备也是一个好主意。向他们解释为什么更新工作设备也很重要，并强调您期望的相关安全行为，例如不要延迟更新。 

九月

9 月份，请将重点放在强调优先级较低的安全行为之一：备份关键数据。请您的同事回想一下他们过去一年在家庭活动中拍摄的所有照片，以及如果这些照片出了什么问题，他们会有何感受！ 

本月要强调的安全行为是确保备份同事关心的内容，以及现在实施云备份是多么容易。在这里，您可以对比一下定期备份的办公室系统和可能没有备份的同事家里的系统。 

十月

我们又回到了网络安全意识月！利用本月带来的所有噪音，开始规划明年的持续网络安全意识活动。当您计划您的计划时，请记住 Pluralsight 有一些很棒的内容和作者，他们可以为您的计划增添多样性——您不需要从头开始想出所有的材料和培训。

请记住：网络安全意识不只是针对你的同事

在起草年度宣传计划时，关键要记住，除了同事之外，还有两个群体需要考虑：董事或非执行管理层，以及供应链。

非执行管理层

这一人群经常被排除在宣传计划之外。造成这种情况的原因有很多，其中一些可能是历史原因，或者只是因为不愿意“打扰”他们。这两种都是错误！

确保将他们纳入你的意识活动，因为监管机构越来越期望非执行管理层具备高水平的网络安全知识。询问你是否可以短暂参加他们的一次会议，询问他们想要什么样的网络安全教育，这也是一个好主意。

您的供应链

将第三方供应链纳入网络安全意识思考中似乎有些奇怪，但这是一种日益增长的趋势。当组织希望与可能不具备所需网络安全成熟度的小型供应商合作时，组织会提出以下问题：

• 除了传统的第三方风险管理计划之外，意识团队还能提供什么帮助？ 

• 该组织的意识培训是否可以与供应商分享，以便他们可以提高员工的安全行为水平？ 

• 在组织层面，供应商是否可以利用网络准备研究所或全球网络联盟提供的材料？

结论：全年将网络安全意识转化为行动

归根结底，这里有两个关键教训：让您的意识活动与您的受众相关且可行，不要在一年中的小时间内开展活动。通过使用上述模板并根据您的需求进行调整，您可以开始在整个组织中推动良好的安全行为，并真正创建网络安全文化，从而全面降低风险。

换句话说：“网络安全是终身的，而不仅仅是网络安全意识月的。”

进一步的学习资源

您是否正在寻找课程来帮助您的整个组织应对日益严重的网络安全威胁？Pluralsight 提供各种初级、中级和高级网络安全课程，以增强您和您的团队的能力。您可以注册 10 天免费试用，无需承诺。以下是一些值得一试的课程，可以帮助您入门：

• 网络安全：高管简报
• 网络安全要点：您在保护公司方面所扮演的角色