Checkmarx將網絡安全訓練游戲化的3個技巧
責編:gltian |2020-05-19 13:35:57眾所周知,在網絡安全行業,提高培訓和教育水平是該行業最大的需求。但該行業的培訓和教育水平也很缺乏。企業比以往時候更容易成為網絡攻擊的受害者,后果只會越來越嚴重。IBM安全部門和Ponemon研究所2019年數據泄露成本報告指出,一個企業的平均事故成本為392萬美元,導致近26,000條記錄丟失。然而,更令人擔憂的是,49%的漏洞仍然是由人為錯誤造成的,包括配置錯誤、編碼過程粗劣,甚至是很簡單的失誤。
思考如何避免人為錯誤的方法有兩種,這兩種方法對于解決整個問題都有一定的幫助。首先,錯誤可能是由企業沒有采取基本措施對其員工進行網絡安全最佳實踐培訓而導致的。其次,鑒于企業能夠意識到員工培訓的重要性,那么導致人為錯誤的原因很可能是員工培訓方法不對,比如培訓方法脫離實際,培訓不及時,培訓內容平淡無奇等會導致培訓方法失效。鑒于此,我們需要制定全新、獨特的網絡安全教育和培訓方法,更好地傳播安全意識,降低工作場所發生這類人為錯誤。
幸運的是,市面上已經存在一種被稱為游戲化的培訓方法,讓如今的企業能夠以更具吸引性、互動性和激勵性的方式提供這些培訓信息。考慮到這一點,配合國家網絡安全意識月的要求,為幫助樹立網絡安全意識,滿足對有效的網絡安全教育日益增長的需求,我們提出以下三個技巧,更好地完善您的培訓和意識計劃,尤其是針對開發人員和編碼最佳實踐的情況:
技巧一:講故事
就信息傳遞而言,人物、角色扮演,切題完善的敘述遠遠超出了傳統的事實和數字。總的來說,講故事對激發大腦活力有重大影響(想想播客的發展和運用)。應該將故事敘述與訓練游戲有機結合。為什么呢?因為當涉及網絡安全教育時,如果不能把講故事和訓練游戲有機結合在一起,您的課程會變得平淡無奇。相反,如果采用了相結合的方式,您的課程就會給人留下真實、持久的印象。
向開發人員提供他們相關聯的角色和場景,讓他們認為自己是故事中的一員,具有整體“使命”,應負責保護各自企業的安全。提供機會,讓他們真實地展示真實世界的場景(比如發現隱藏的代碼漏洞)。最后,給參與培訓的人員進行表彰(比如策劃推出漏洞報告獎勵的培訓項目)。將所有上述內容相結合,會讓受訓者產生興趣并且更加投入。
技巧二:提供獎品和獎勵
每個人都喜歡獲獎,尤其是在工作環境中。在實際培訓過程中以及培訓結束后激勵參與者,是提高人員培訓參與度、吸引公司內部其他人員參與培訓的一種重要做法。企業可以推出簡單的培訓獎勵,比如贏得數字積分,且數字積分隨時間而積累,能讓受訓人員形成良好網絡安全行為的習慣。企業也可以推出更為豐富的獎勵,比如將積分兌換成禮品卡、優惠券,甚至度假權(對于那些真正專注的安全倡導者)。
這里有個關鍵環節,那就是創建系統管理委員會,讓參與者隨時了解自己和同事的培訓得分,創造健康積極的競爭氛圍。給培訓項目配置權重得分,比如:報告潛在網絡釣魚鏈接可獲得50分;識別源代碼漏洞并進行補救,可獲得150分;或者,在您的辦公桌上放一份安全編碼最佳實踐的清單,可輕松獲得10分。您可以得到自己想要的詳細信息或高層次內容。重要的是,要確保培訓項目能夠激勵受訓人員,內容有趣,實事求是(這表示人們的確可以贏得獎品),并最終使企業內的每個人都更加關注安全性的問題。
計巧三:進行長期投資
請牢記,網絡安全教育和培訓不是一蹴而就的,這一點非常重要。為了真正將課程執行下去,把安全作為每項作業的第一原則,必須有規律地安排培訓,至少每季度安排一次。網絡安全形勢瞬息萬變,僅僅三個月內,就可能出現一系列全新的威脅,員工應該對此有所警覺。
從小處著手,通過有趣的培訓方式和獎品激勵方式讓培訓項目具有互動性,這是啟動培訓工作的一種很棒的做法,尤其是在預算有限的情況下更是如此。接下來的關鍵是維持這種教育環境,特別是在全公司范圍,定期讓IT團隊獲得提示和更新信息,全面提高安全意識。
在現代企業中,網絡安全培訓和教育不再是可選方案。如今,如果我們需要應對當前具有威脅的形勢,那么網絡安全培訓和教育是必要的,必須將其作為優先事項安排。憑借以上三個技巧,推進網絡安全培訓和教育計劃,讓周圍的人把漏洞曝光變成提升網絡保護安全的優勢。
很想了解Checkmarx是如何將您的網絡安全培訓和意識項目提升到新的水平?CxCodebashing如何通過營造軟件安全文化,幫助開發人員掌握安全性? 點擊此處,獲取:Checkmarx45天的免費訪問安全編程解決方案
從今天開始,Checkmarx將提供45天的免費訪問我們的安全編程解決方案-Codebashing的權限。Codebashing使安全團隊能夠向開發人員提供無論身在何處都可以編寫安全代碼所需的技能和工具。
借助完整的Codebashing產品,AppSec經理能夠培養一種軟件安全文化,使開發人員能夠在日常工作中安全思考和采取行動。組織可以邀請其遠程開發團隊參與:
專門培訓–開發人員在在家學習和編碼的同時參加了在線專門培訓課程。
團隊挑戰–通過運行挑戰測試開發人員的AppSec知識來增強競爭精神。開發人員將相互競爭,以提高排行榜的排名。
評估–每個人都在家工作,這是了解每個開發人員AppSec技能的最佳時機。
請從現在起至2020年5月31日可申請免費訪問安全編程解決方案,開發人員還可以訪問free.codebashing.com,快速免費獲得Codebashing提供的一些課程!
?
支持我們的客戶,合作伙伴和更廣泛的AppSec社區仍然是重中之重,我們希望這些積極的措施幫助企業和程序員在困難時期繼續提供安全的軟件。更多內容關注Checkmarx微信公眾號和官網。