ISACA Journal | 如何衡量和评估关于提高安全意识方法的有效性?

衡量和提高用户的安全意识水平一直是信息安全专家们感兴趣的话题。有许多不同的方法可以提高工作环境中的安全意识水平,但这些方法也带来了许多问题。提高安全意识的最有效方法是什么?哪些活动可以提高参与者的安全知识水平,以及提高到什么水平?员工最喜欢安全意识计划的哪些内容?首选方法是否比其他方法更有效?  

2021年8月至2023年3月期间针对匈牙利的组织开展了一项研究,旨在通过比较安全意识提高活动的有效性来找到这些问题的答案。

关于这项研究

本次研究的目的是评估提高安全意识方法的有效性。这项研究在10个组织中进行,其中一半是公共机构,一半是私营企业。每个组织提供30名员工参加六项有针对性的培训活动中的一项。每个人只能参加一种提高活动,以确保能够确定知识的来源。没有其它进一步的限制——例如,按性别、年龄或职位安排团队的组成。员工可以被指定参与强制分派的工作,也可以自己申请加入项目。信息技术知识水平较低的普通员工和在过去一年中没有接受过信息安全培训的员工是首选,但这种优先选择并不是强制的。然而相关的风险可以忽略不计,但招募总共300名从未参加过任何安全意识培训或不具备相关信息技术知识的人员也是不现实的。

图1显示了员工人数,图2显示了所涉组织的行业分类。

图3显示了调查对象的年龄分布,图4显示了他们上次接受安全意识培训的时间。

 

为了评估提高安全意识的活动,我们采用了一种独创的评估方法,对相关组织为用户提供的六种选定培训机会进行了比较:一种是亲自参加的传统培训,一种是传统的在线培训,一种是最近流行的在线培训(新冠之后),一种是以前流行的亲自参加的培训(新冠之前),还有两种是游戏化教育方法。根据这些要求,选定的方法是:

  • 课堂培训(演示)

  • 在线培训(实时演示)

  • 在线学习资料

  • 活动要素

  • 密室逃生

  • 桌面游戏

该研究方法采用了三份类似的调查问卷,每份问卷都包含一个唯一的标识编号、一些统计数据和多项选择数据,以及一个关键的调查问题,请用自己的语言来回答:"如果新同事或家人向你询问信息安全问题,请列出你会告诉他们的所有安全意识规则和最佳实践。"。使用这种方法而不是用复选框列出可能的答案,可以避免一些受访者将答案标记为正确,即使这样做并不反映真实的知识。在不设限的要求下,用户的回答是基于已获得的知识和应用实践。

这项研究是匿名的,但为了将调查问卷与之关联起来,用户必须生成一个13位数的标识,展现在每份问卷上。

参与的组织的信息安全人员组织了支持研究的培训活动,每个组织的培训活动持续6个小时。员工亲自参加,但在线培训必须通过视频会议应用程序进行连接。如有必要,在线学习材料和活动要素的选项可以远程进行。

如图5所示,在每次活动之前,我们都会对研究进行解释,并分发第一份纸质问卷(如采用在线方法,则分发谷歌表单链接)。参与者有10-15分钟的时间回答问题。收集完问卷1后,相应的培训开始,时间不超过30分钟。最后,参与者收到并填写第二份问卷。问卷2的目的是确定答案中会出现多少(以及哪些)新的信息安全知识要素。用户参与的最后一步是在一个月后进行的。对问卷3的回答可以使用谷歌表单在线完成,问卷3显示了程序中哪些要素是永久性的(即这些要素是否也作为新知识出现在问卷2中,还是只出现在问卷3中)。

不设限的答案被分为10个安全意识知识类别:

1.清桌政策

2.清除屏幕策略,锁定计算机

3.密钥和令牌

4.硬件设备

5.口令

6.文件粉碎

7.网络钓鱼

8.恶意软件

9.社交媒体

10.手机和智能设备

这些类别是根据研究人员的社会工程审计经验和一般安全意识提高活动选择的。当然,这些主题是本次研究涉及的所有六种提高方法的一部分。任何不在这些类别中的由用户提供的其他知识要素都会作为注释添加进来(例如,隐私生活、未知访客、备份、安全打印、数据保护)。

安全意识提高方法介绍

所有培训方法都适用于传达一般信息安全知识,没有一项活动是为参与组织量身定制的。

该研究排除了高度专业化的培训(例如有针对性的研讨会)、难以获取或需要软件开发的在线方法(例如移动应用程序[apps]、在线游戏)、耗时的程序(例如聚集点)以及具有教育目标的测量活动(例如模拟网络钓鱼)。

调查方法包括个人培训、在线培训、在线学习、活动、密室逃生和桌面游戏。

个人培训(演示)

个人培训是一种传统的课堂演示。它由五名用户亲自参加的动画演示组成。活动没有互动,但参与者可以在活动结束后提问。没有提供备忘录,员工也不做笔记。

在线培训(实时演示)

在线培训包括通过Microsoft Teams或组织偏好的其他视频会议应用程序进行实时演示。演示内容与现场培训中使用的内容相同。学员可以远程加入呼叫,在家庭办公室远程参加培训。培训没有录播,也不共享备忘录。

在线学习资料

由于这项研究是在10个不同的组织中进行的,因此需要一个通用的解决方案来提供在线学习内容。其中一些机构没有在线学习系统,而其他机构则使用各种不同的培训系统。为了进行研究,我们对培训演示文稿进行了修改,以创建一个详细的、可单独学习的自动化程序。文件可以通过微软OneDrive共享。这种方法降低了一些用户可能无法使用不熟悉的系统访问资料的风险。在线学习解决方案从演示文稿中导入培训材料的情况并不少见。

活动要素

安全意识宣传活动通常在网络安全月期间组织,匈牙利和美国的网络安全月都是十月。在此期间,员工通常会听到有趣的演讲,参加各种活动,看到印有重要信息的海报和新闻,有时还会收到有用的小礼物,以提醒他们安全意识的重要性。信息安全活动是一种复杂的解决方案,有时会涵盖其他培训方法。就本次研究而言,重点仅限于经典的活动要素。活动包包括:

  • 带有重要信息的海报

  • 安全通讯/内部网帖子(印刷品)

  • 与安全有关的填字游戏

  • 记忆游戏(印刷品)

  • 摄像头盖板

  • 带口令编码器的钥匙扣

密室逃生

安全意识密室逃生是信息安全培训中并不罕见的游戏化元素。密室逃生是一种需要团队合作的游戏,目的是通过强调用户在信息安全方面的一般缺陷和不良习惯(如简单的口令或书面写下的口令、铅笔盒中的密钥)来降低基于人为因素的风险。这些游戏展示了了解和遵守安全规则的重要性,并说明如果用户没有安全意识,就很容易成为基于人因攻击的受害者。密室逃生采用游戏化和体验式学习的方法,通过指出常见错误和不安全习惯、其可能造成的后果以及安全意识的优势,提高参与者的安全意识水平。在这项研究中,所有10个组织都使用了场景相同的密室逃生,以涵盖必要的知识要素。没有任何定制。

桌面游戏

在多个教育领域中,桌面游戏作为一种培训资料,是新的游戏化形式,现在已开始流行。桌面游戏、拼图和纸牌游戏也越来越受欢迎。

本研究中使用的桌面游戏象征着一个办公室(游戏棋盘)中六名员工(角色)的工作日(时间轴)。玩游戏可以帮助参与者识别并记住重要的安全意识规则和最佳实践(30张知识卡),并识别基于人为因素的威胁(150张行动卡),这些都反映了真实事件和社会工程审计中的经验。正常情况下,游戏可持续60-90分钟。在本研究中,游戏被缩减为三轮(每轮约30分钟),行动卡则根据之前定义的10个知识要素进行选择。

成效结果

本次研究调查最终产生了284份可用答卷,这意味着94.67%的受访者填写完成了问卷。其余的参与者没有填写第一份和第二份问卷中的一份或两份。在性别分布方面,52%的受访者为女性,48%为男性。84%的参与者为内部员工。11%为中层管理人员,3%为企业高层管理人员。2%为外部雇员。

第一项调查利用问卷1的最后一个问题来探讨用户一般都掌握哪些安全意识知识,以及他们对这些知识的内化程度如何,该问题要求参与者写出他们会告诉新同事或与家人或熟人分享的信息安全意识知识要素(如规则、最佳实践、建议)。

如图6所示,在10个预定义的必备知识要素中,已知安全意识知识要素的前三位是选择和保护口令(64.44%)、清除屏幕政策、使用屏幕锁定(39.08%)和有关恶意软件防护的知识(35.21%)。如图所示,水平最低的是粉碎纸质文件(可能是基于家庭办公和较高的数字化水平)、安全使用社交媒体以及手机和智能设备,而这些并不总是安全意识培训的普遍内容。

课程结束后,对问卷2的回答显示了参与者安全意识知识的变化情况。图7显示了按主题分列的详细结果。

如图8词云所示,学习最多的话题涉及使用碎纸机和安全使用社交媒体网站、手机和智能设备。

研究结果表明,以前的知识与新提高的安全意识主题之间存在密切联系。以前了解越少的知识要素,就越受关注。

 

图9显示了基于安全意识知识的提高,培训计划的总体效果如何。

有趣的是我们可以看到哪项计划内容提高了最多参与者的安全意识知识。图10显示了每种教育方法中获得至少一种新知识要素的参与者百分比(也记录在问卷2中)。根据这些信息,如果目标是普遍提高员工的安全意识知识,建议选择课堂培训、桌面游戏或密室逃生。这些方法有助于提高用户对信息安全的认识,参与者可以根据自身情况获得最有趣、最有用的知识。

一个月后,本次研究考虑了特定方法对用户的吸引力。它并没有从评估中过滤或剔除那些不参与或不关注个别项目的人。对这些项目缺乏兴趣和关注也是重要的反馈信息。如图11所示,课堂培训是最受欢迎的方法(100%),而在线学习是最不受欢迎的方法。

除了调查更多安全意识的用户比例外,本次研究还评估了新知识元素的平均数量(图12)。桌面游戏是最有效的项目元素(1.51),在线学习是最低效的(1.07)。

 

图13显示了每种培训方法如何增加安全意识知识要素的数量。

员工如何看待这些培训方法

除了对每种教育方法的有效性进行评级外,对用户的偏好进行评估也很有用。首先,本次研究考察了参与首选培训方法对提高安全意识的影响。如图14所示,用户参加首选或非首选教育方法的效果差异不大。在两种情况下,获得更多安全意识知识的参与者人数和获得的新知识元素数量几乎相同。

然而,值得注意的是,在每次项目演示之后,参与者的偏好发生了怎样的变化。如图15所示,在线和传统方法(即在线培训、在线学习、课堂培训)的受欢迎程度有所下降,而游戏化项目元素的受欢迎程度则有所上升。

扩大数据范围后,可以清楚地看到,对桌面游戏的偏好增加最多,而对在线学习的偏好减少最多。至于偏好发生变化是因为之前没有偏好,但受影响的参与者喜欢上了这个项目,进而开始偏爱它,还是受影响的用户之前有偏好,但仍然不喜欢它,我们不得而知。

问卷2询问了参与者对该项目的喜爱程度和实用性的看法。图16显示,游戏化方法是最令人愉快的活动,桌面游戏是最有用的项目。

总体而言,98%的游戏化活动参与者推荐他们参加的项目,而在线学习是最不被推荐的解决方案(图17)。

数据分析显示,与没有安全意识的人相比,觉得活动有趣的人更有安全意识。

结论

在研究框架内,从两个方面考察了提高安全意识计划的有效性。主要目标是了解哪种方法可用于提高大多数用户的安全意识水平。本次研究还考察了哪些方案能提高安全意识,以及提高的程度如何。研究结果证实了之前的假设,即游戏化方法可以提高安全意识水平并影响更多员工。

根据这些结果,在计划安全意识提高活动时,最好考虑三个问题:

1.员工目前掌握哪些信息安全知识?

2.用户的安全意识如何?

3.该计划的主要目标是触及并提高更多员工的认识,还是直接改善不足之处?

数据分析显示,与没有安全意识的人相比,觉得活动有趣的人更有安全意识。

根据这些问题的答案,企业可以选择适当的安全意识提高行动组合,并针对不同的目的采用不同的方法。例如,为了提高员工对安全意识的敏感度,增加用户的安全意识知识,可以在课堂培训中加入有趣的演示或游戏化元素,如桌面游戏或密室逃生。

有趣的是,一个月后,在线培训在获取新的知识要素和更具安全意识的用户数量增加方面都是最成功的。

任何组织在规划和组织安全意识计划之前,都可以从类似的调查中获益。这项研究有助于选择正确的方法,有效提高员工的信息安全知识。

 

编者注:本文出自ISACA Journal 2023年第4期。尾注略。文章内容仅代表作者本人观点。
作者:ESZTER DIÁNA OROSZI,CISA, CRISC, CISM, ISO 27001 LA,是匈牙利一家信息安全咨询公司的首席顾问兼信息安全咨询部负责人。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员, 华侨银行信息安全和数字化风险经理。