Akamai 的安全意识培训

Akamai 的大多数员工从入职第一天起,安全意识和培训就从未放松。以下是该计划的概要介绍,以及一位员工的个人培训经历。

Akamai 的安全意识培训

目的:

除了传统的教育努力,Akamai 认为,讨论安全信息并确定其优先级可以增强安全意识。

范围:

此政策适用于所有 Akamai 员工。 

政策:

员工在入职第一个月内以及以后的每年都会接受一般安全培训。在入职培训的第一天,新员工会收到由 Akamai InfoSec 的成员现场提供的 40 分钟 Akamai 安全程序概述。

角色和职责:

所有员工必须每年确认是否收到 Akamai 信息安全计划和进修培训的提供情况。进修培训主要采用视频演示和文档的形式提供。Information Security 组对员工确认进行跟进,并确保 Akamai 员工的确认率始终超过 96%。 

Product Management 确保在讨论安全要求时,应将其作为每个主要产品发布的关键组成部分,同时确保依据相关的安全标准保护所有解决方案中的持卡人和其他敏感数据。

Executive Management 通常审核 Akamai 安全状态的多个方面,包括:

  • 在识别和修复安全风险和漏洞方面取得的进展; 
  • 公司范围内为加强安全实践和意识而进行宣传的机会; 
  • Akamai 持续的公司安全以及在网络安全行业中的影响的其他方面。 

案例分析:

下面是 Akamai 员工 Bill Brenner 对参加 Akamai 安全培训的亲身感受。Brenner 是一名 Senior Program Manager,他负责通过文章、播客、视频、博客和其他媒体报道 Akamai 的安全实践。

尽管在过去十年里我一直在写关于 InfoSec 的报道,但我仍有感到羞愧的时候。那是在去年,现存最古老的社交工程伎俩之一让我上了当,我点击了一条 Twitter 私信上的链接,在私信中我的同事问我是否想看看别人写的关于我的恶意帖子。这位同事的 Twitter 帐户被劫持了,类似的消息被发送到他的各个联系人。当我点击链接时,我就意识到我做了一些可能危及我的帐户和计算机的事。

几年前还有一个类似的故事,我通过电子邮件收到了一个科幻小说网站的链接,我点击了链接,而那封邮件是一个冒充我的老朋友的人发来的。那天有 500 个恶意软件被下载到我的笔记本电脑上,基本上是色情内容和炒股诈骗的广告程序满屏幕地弹出。我花了几个小时来清理烂摊子,办公室的同事们把我好好取笑了一番。 

在这两次事件中,我没有在雇佣我的公司接受过安全培训,但作为一名安全报道撰稿人,我本应该更清楚些。在公司安全意识方面,当攻击到处发生时我们会收到安全警告,但从来没有上过一堂关于基本最佳实践的课程。

在我入职 Akamai 的第一天,将近有一个小时的入职培训是专门针对此主题的。多年来,我曾多写过为员工提供安全培训的重要性,但这是我第一次接受该培训。

商业界中的安全培训并不是你可以用一刀切的心态来对待的。不同公司有不同需求,Akamai 也不例外。我不会在这里讨论我们是如何处理具体情况的。但很多方向都是非常基本的,并且适用于任何公司和行业。 

例如: 

我们得知可以使用我们选择的 IM 应用程序来与朋友和家人交流。但对于任何与工作相关的内部沟通,我们必须使用独立的特定 IM 工具 已添加保护的工具。 

我们有为各种程序推出安全补丁的例行计划,我们有时会看到屏幕上出现一个方框,让我们按下按钮来安装新的更新。在培训课程中,我们已经清楚地知道,我们必须注意更新并在被要求更新时听从建议。我们还要确保从权威来源进行更新。毕竟,屏幕上的弹出窗口可能很危险。

如果我们离开计算机使其无人照看,我们应锁定屏幕,以使他人无法访问我们的数据或应用程序。在我入职的第二天,我离开时计算机上还运行着几个应用程序,当我回来时,我发现监视器上贴着一张便笺,上面写着“屏幕保护程序 FTW。”

说到便笺,我们得到的另一个指示是永远不要乱放写着密码或其他授权数据的便笺。

如果我们看到没有胸卡的人试图进入建筑或其他安全区域,我们有责任确保我们自已、我们公司的安全组或我们的任一身份验证工具(包括同事、员工目录等)将其适当识别出。 

我们的计划中还有更多的细节,但那些都是基础内容的良好示例 其他公司将从采用中获益的项目。