Checkmarx将网络安全训练游戏化的3个技巧

众所周知,在网络安全行业,提高培训和教育水平是该行业最大的需求。但该行业的培训和教育水平也很缺乏。企业比以往时候更容易成为网络攻击的受害者,后果只会越来越严重。IBM安全部门和Ponemon研究所2019年数据泄露成本报告指出,一个企业的平均事故成本为392万美元,导致近26,000条记录丢失。然而,更令人担忧的是,49%的漏洞仍然是由人为错误造成的,包括配置错误、编码过程粗劣,甚至是很简单的失误。

思考如何避免人为错误的方法有两种,这两种方法对于解决整个问题都有一定的帮助。首先,错误可能是由企业没有采取基本措施对其员工进行网络安全最佳实践培训而导致的。其次,鉴于企业能够意识到员工培训的重要性,那么导致人为错误的原因很可能是员工培训方法不对,比如培训方法脱离实际,培训不及时,培训内容平淡无奇等会导致培训方法失效。鉴于此,我们需要制定全新、独特的网络安全教育和培训方法,更好地传播安全意识,降低工作场所发生这类人为错误。

幸运的是,市面上已经存在一种被称为游戏化的培训方法,让如今的企业能够以更具吸引性、互动性和激励性的方式提供这些培训信息。考虑到这一点,配合国家网络安全意识月的要求,为帮助树立网络安全意识,满足对有效的网络安全教育日益增长的需求,我们提出以下三个技巧,更好地完善您的培训和意识计划,尤其是针对开发人员和编码最佳实践的情况:

技巧一:讲故事

就信息传递而言,人物、角色扮演,切题完善的叙述远远超出了传统的事实和数字。总的来说,讲故事对激发大脑活力有重大影响(想想播客的发展和运用)。应该将故事叙述与训练游戏有机结合。为什么呢?因为当涉及网络安全教育时,如果不能把讲故事和训练游戏有机结合在一起,您的课程会变得平淡无奇。相反,如果采用了相结合的方式,您的课程就会给人留下真实、持久的印象。

向开发人员提供他们相关联的角色和场景,让他们认为自己是故事中的一员,具有整体“使命”,应负责保护各自企业的安全。提供机会,让他们真实地展示真实世界的场景(比如发现隐藏的代码漏洞)。最后,给参与培训的人员进行表彰(比如策划推出漏洞报告奖励的培训项目)。将所有上述内容相结合,会让受训者产生兴趣并且更加投入。

技巧二:提供奖品和奖励

每个人都喜欢获奖,尤其是在工作环境中。在实际培训过程中以及培训结束后激励参与者,是提高人员培训参与度、吸引公司内部其他人员参与培训的一种重要做法。企业可以推出简单的培训奖励,比如赢得数字积分,且数字积分随时间而积累,能让受训人员形成良好网络安全行为的习惯。企业也可以推出更为丰富的奖励,比如将积分兑换成礼品卡、优惠券,甚至度假权(对于那些真正专注的安全倡导者)。

这里有个关键环节,那就是创建系统管理委员会,让参与者随时了解自己和同事的培训得分,创造健康积极的竞争氛围。给培训项目配置权重得分,比如:报告潜在网络钓鱼链接可获得50分;识别源代码漏洞并进行补救,可获得150分;或者,在您的办公桌上放一份安全编码最佳实践的清单,可轻松获得10分。您可以得到自己想要的详细信息或高层次内容。重要的是,要确保培训项目能够激励受训人员,内容有趣,实事求是(这表示人们的确可以赢得奖品),并最终使企业内的每个人都更加关注安全性的问题。

计巧三:进行长期投资

请牢记,网络安全教育和培训不是一蹴而就的,这一点非常重要。为了真正将课程执行下去,把安全作为每项作业的第一原则,必须有规律地安排培训,至少每季度安排一次。网络安全形势瞬息万变,仅仅三个月内,就可能出现一系列全新的威胁,员工应该对此有所警觉。

从小处着手,通过有趣的培训方式和奖品激励方式让培训项目具有互动性,这是启动培训工作的一种很棒的做法,尤其是在预算有限的情况下更是如此。接下来的关键是维持这种教育环境,特别是在全公司范围,定期让IT团队获得提示和更新信息,全面提高安全意识。

在现代企业中,网络安全培训和教育不再是可选方案。如今,如果我们需要应对当前具有威胁的形势,那么网络安全培训和教育是必要的,必须将其作为优先事项安排。凭借以上三个技巧,推进网络安全培训和教育计划,让周围的人把漏洞曝光变成提升网络保护安全的优势。

很想了解Checkmarx是如何将您的网络安全培训和意识项目提升到新的水平?CxCodebashing如何通过营造软件安全文化,帮助开发人员掌握安全性? 点击此处,获取:Checkmarx45天的免费访问安全编程解决方案

从今天开始,Checkmarx将提供45天的免费访问我们的安全编程解决方案-Codebashing的权限。Codebashing使安全团队能够向开发人员提供无论身在何处都可以编写安全代码所需的技能和工具。

借助完整的Codebashing产品,AppSec经理能够培养一种软件安全文化,使开发人员能够在日常工作中安全思考和采取行动。组织可以邀请其远程开发团队参与:

专门培训–开发人员在在家学习和编码的同时参加了在线专门培训课程。

团队挑战–通过运行挑战测试开发人员的AppSec知识来增强竞争精神。开发人员将相互竞争,以提高排行榜的排名。

评估–每个人都在家工作,这是了解每个开发人员AppSec技能的最佳时机。

请从现在起至2020年5月31日可申请免费访问安全编程解决方案,开发人员还可以访问free.codebashing.com,快速免费获得Codebashing提供的一些课程!

 3

支持我们的客户,合作伙伴和更广泛的AppSec社区仍然是重中之重,我们希望这些积极的措施帮助企业和程序员在困难时期继续提供安全的软件。更多内容关注Checkmarx微信公众号和官网。

上一篇:中国队首次夺冠!腾讯A*0*E战队斩获DEF CON CTF预赛冠军

下一篇:深入教学场景,赋能教学全流程!锐捷推出云大屏与智慧黑板解决方案