iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 5
0
Security

資安分析師的轉職升等之路系列 第 5

Day 5 玩遊戲學資安 : 數位學習管理平台

昨天分享和主管的對話,列出員工資安意識教育的優點,其實並非每間公司企業都有經費與人力成立資安團隊或CERT/CISRT Team,可能靠本身MIS部門應付各種事件,如果提升內部員工資安意識,一來減少資安事故發生,二來藉由員工本身在同部門互相宣導,遠比MIS緊迫盯人來得迅速有效。身為分析師Analyst,藉由比對培訓簽到表和MIS 紀錄,我發現幾輪員工資安教育後,勤於參與員工資安教育的部門達到以下效果:

  1. 資安事故通報量提升。以往大家收到釣魚郵件乃至點擊後都默不吭聲,螢幕上出現奇怪畫面也漠視不理,現在都會主動通報MIS,詢問該怎麼做?並且態度非常配合,只要能臨時借一台筆電繼續工作,並不介意我們將電腦收回處置,損失電腦桌面上的臨時資料也頗接受。
  2. 員工主動協助傳達訊息。收到釣魚郵件後,會詢問鄰近同事是否同樣收到,和我們回報:某某部門總共幾人收到可疑郵件,幾人點擊,幾人開啟附件,螢幕出現訊息已截圖一張等等。當我們回覆該如何處理,也會主動告知同部門同事,完全不需要我們一個一個打電話告知確認,節省我們MIS部門很多時間。
    https://ithelp.ithome.com.tw/upload/images/20171224/20084806xt5wZEkbAE.jpg
    *示意圖來自網路截圖

也因為這個「讓大家一起打造安全使用環境」的策略成效良好,主管希望能擴大到全公司所有部門,開會討論後定下幾個執行目標:

  1. 每位新進員工都須接受基本資安意識教育
  2. 個別員工曾有發生資安事故者,需針對該事件進行加強培訓。例如曾經點擊開啟釣魚郵件者,要重新接受關於釣魚郵件的培訓。
  3. 希望能量化成效,從各部門參與人數,到接受培訓後是否真的有效都要做出報告。

鑒於這些目標無法光靠培訓簽到表與EXCEL就可以達成,我決定尋找一套合適的數位學習管理平台 (Learning Management System)。因為是數位學習平台(LMS),手機電腦和平板都能開啟,以前總有些人抱怨沒時間參與員工資安教育,現在無論何時何地都可以開始,或從之前暫停的部分繼續,而且每段課程只有5-10分鐘,內容生動活潑,簡單趣味,有影片、有互動、有測驗,還有遊戲;LMS 可以記錄完成進度,輕鬆地叫出報表掌握什麼部門那幾位員工尚未完成,甚至測驗分數,我們把它做成類似「部門對抗賽」的活動,每次在公司內網列出「最快完成的部門」、「分數最好的部門」等等,鼓勵大家多重看內容重做幾次測驗提高分數(當然測驗題目每次都不一樣)。

我用的LMS名字和袋熊有關,還有Phishing Simulator功能,向公司員工發送測試的釣魚郵件,從報表上掌握誰點擊郵件、誰開啟附件,並自動發送訊息幫該名員工加一堂關於電子郵件安全的課程。如此將員工資安教育數位化、自動化、趣味化,我就可以將時間安排在下一個專案計畫上啦~

https://ithelp.ithome.com.tw/upload/images/20171224/20084806eiABiIUnJC.jpg
*截圖來自網路

「這雖然是遊戲,但可不是鬧著玩的。」--茅場晶彥《刀劍神域》

你有使用LMS的經驗嗎?有測試過什麼平台呢?你們公司有用LMS進行資安(或其他領域)的培訓嗎?歡迎留言分享。


上一篇
Day 4 雙重轉職 : 上臺當講師
下一篇
Day 6 終於不用背9999組帳密 : Privilege Access Management
系列文
資安分析師的轉職升等之路32

1 則留言

0
Sergeyau
iT邦研究生 4 級 ‧ 2017-12-24 11:10:48

補充一下:我沒有直接說出LMS名稱,避免幫它打廣告的嫌疑。這篇是以自己使用該產品的經驗分享,但是我之前測試、詢問過的LMS都有類似功能。有興趣的邦友可以去Gartner查詢幾家主要的LMS廠商。

我要留言

立即登入留言