产业巨鳄的安全意识教育创新体验分享

不管一家公司是否完全触网,或者有严格的内外网隔离政策,安全意识培训都是不可忽视的重要组成部分,其被重视程度也越来越高。——一家业界标竿公司的信息安全总监如是说。

从多重防御、木桶理论等观点可以看出信息安全专员们往往都是完美主义者。安全意识教育是让信息安全方针政策、制度规范、标准流程以及安全技术方案、控管措施和产品等等被人们理解的必须经历的有效沟通途径。

很多的安全相关法规制度和策略流程不能被有效落实和执行,关键的问题在于它们只停留在“纸面”上,被束之高阁或只被专业的安全从业人员所知晓,显然不能期望通过起草、签署和发布一项规范、设置生效期便能获得用户的理解和支持。

业界很多非专职安全的泛IT从业人员可能只认为安全是一些麻烦的事儿,在业务流程或软件应用中加入一些安全控制措施即可。也有“技术控”类的安全技术人员会认为总有应对各类安全问题的解决方法,多部署一些安全控管系统,总会让安全水平提升起来。实际上在实施安全技术方案的时候,才发现要解决的安全问题远不是表面的那一些,深层次的安全管理问题会逐渐暴露或发掘出来。同时受新上线安全系统影响的用户也总是想办法忽略、躲避甚至穿越这些安全系统。IT团队需要改变头痛医头、脚痛医脚的方法,而从全面的体系构建和用户服务体验等层面开始采用正确的安全解决方案。

传统的安全意识培训关注的重点是知识的灌输,包括安全规章制度和相关的安全应用技能等等。不管通过通过课堂教学方式、设置安全教育展板标语还是发放各类安全培训资料,都企图让员工们了解其需要掌握的安全知识。这实际上是错误的出发点,安全意识的目标拿捏的不够精准,因为安全意识的核心目标应该改变员工们的安全行为和习惯,安全知识只有被应用于实际工作中才算有价值。所以安全管理负责人员以及安全意识培训人员应该经常问一问:如何才能让做正确的事情,让这些成为员工们的默认安全行为,进而演变成公司信息安全文化的一部分。

讨论到安全意识教育的效果,重点在改变员工们的安全行为。同业界专业的信息安全意识服务机构昆明亭长朗然科技有限公司进行合作,信息安全团队将新入职员工分组纳入安全行为变革计划。一批“经典组”仍然按照旧有的体系实施安全意识培训;另一批“实验组”采用新式的安全意识教育理念和方案。从入职面试时便开始追踪两组员工的安全行为,一直到他们参加入职安全培训和执行日常的工作任务。

“实验组”着重采用鼓励手段,培训内容立求简单有趣易行,安全培训关注点也是较为普及性的课题:比如关于密码的选择和使用、钓鱼防范、物理访问控制安全等等。培训鼓励学员通过企业安全论坛、博客、课堂、邮箱、留言簿、讨论会等等渠道正面表达自己的意见,学员不会因为错误的观点和言论而受到惩罚,反而会得到由于积极参与辩论而获得安全意识方面的纠正和启发。

通过在重点阶段对两组的考核评估对比,安全意识项目团队发现“实验组”的成员无论在安全意识的“知识”层面,还是在安全行为的“习惯”层面都远远超出“经典组”,具体的考评手段除了安全意识知识技能测试、钓鱼邮件攻击测试、社交工程电话攻击测试、尾随渗透测试、办公室可疑探测攻击、垃圾桶机要文件搜集,也包括桌面安全检查结果统计分析、人为原因造成的安全事故统计分析、安全意识认知与行为统一性分析、安全系统体验指数及服务满意度分析等等。

举例讲:安全意识教育团队设置了邮件列表来发布钓鱼报警信息,“实验组”成员的参与回复率是“经典组”的三倍;用于反钓鱼意识测试的钓鱼邮件只有“经典组”中的成员“中招”——点击了测试链接或回复邮件泄露了机密信息;而从防垃圾邮件举报邮箱及反垃圾系统分析,“实验组”举报的未成功过滤的钓鱼邮件数量是“经典组”的五十余倍!

在办公室物理安全方面,安全团队也不时选择一名“可疑”员工,不要他(她)佩戴工卡,尝试尾随其他员工,看看多少员工会注意到这件事并且采取正确的工卡询问及指引行动。这名“可疑”员工也会在办公区域“贼头贼脑”地尝试搜集和窃取各类信息资产,包括获取员工桌面的信息设备和机密文档,潜入会议室、文印室等地点搜集重要信息……通常能够意识到安全问题并且提出质疑和询问的是“实验组”的员工们,不过“经典组”的员工在经历过一次之后也开始变得警觉起来。

参与此次项目的昆明亭长朗然科技有限公司安全意识交付专家James Dong说:安全管理负责团队不能为了完成培训任务而进行安全培训,而是要着眼于建立企业安全文化。对个体员工的安全意识认知水平和安全行为进行建档、打分和跟踪,勇于采用创新手段并不断重复运行和保持持续改进,安全意识教育才会更加有效。

physical-security-awareness-test

员工安全培训呼唤参与式学习

安全专员们可能认为使用脆弱密码的员工是傻瓜,难道没有人告诉他们不能使用123456作为密码吗?难道系统没有复杂密码的策略么?

也有IT管理员可能认为被成功进行电信诈骗的员工是笨蛋,他们难道比老太婆还贪迷么?为什么没有人告诉他们天上掉馅饼那些事儿都是骗局?

事实上,北大清华毕业的高智商人群中仍然有一部分使用脆弱的密码,博士生被小学生骗的案子随时见诸于媒体,安全专家们通常假设最终用户有一些基础的安全认知,IT管理员也可能会假设员工们都有一些基本的技术能力。

问题是这些假设只是“假设”,最终用户们可能在某方面是一张白纸,“假设”不是真实情况,“地球人都知道”的“常识”并不为全体员工们所知。事实上,没有基础的知识,根本不存在什么“常识”,所以在安全项目或安全计划失效时,千万不要怪罪于最终用户不了解安全“常识”。

在我们仔细分析问题的根本原因之后,我们会明白安全问题的原因并非最终用户的蠢笨,相反却是IT或安全管理员的不称职。事实上,我们多问一问如何能够防范这些安全事故再次发生呢?得到的答案往往是通过安全意识教育训练来纠正用户的错误行为,防止蠢笨的动作。

所以说,安全意识教育的目的是防止用户出现危害安全的蠢笨行为,换句话说,是让人们在日常工作中应用正确的安全最佳操作实践。

有安全专家可能觉得普及安全意识常识是很没有挑战的事情,事实上,多数安全意识教育并没能有效地改变用户的蠢笨行为,多项统计表明:只有少数成功的安全意识教育获得了最终用户的认可,而表现在由于人为失误而造成的安全事故发生率大幅下降。

此外,进行安全意识教育的另一个原因是技术控管措施并不是全能的,三分技术,七分管理,安全技术对整体安全控管的贡献度只占小部分。而安全意识教育无疑是建立健全安全文化的关键,从投入产出上看,安全技术往往价格不菲,安全意识教育则是更经济有效的。

越来越多的安全行业标准和法律法规遵循也都要求组织对员工进行必要的安全意识教育,但是安全意识教育本身并没有标准可以遵循。尽管如此,却有一些方法论可以参考,特别是在建立安全意识教育计划方面,西方发达国家走在世界的前列,这些方法论,实话说和其它企业培训没有什么两样,所以IT、安全和培训专员们应该协同紧密合作,方可建立起完善的安全意识教育方案和计划。

安全专员具有安全方面的背景,IT专员熟悉信息技术和计算终端,而培训专员则更擅长员工沟通以及市场推广。多数领导高层能够意识到安全意识的重要性并给予足够的支持,然而问题并非创建必要的培训内容和发动安全意识培训活动,也并非衡量安全意识培训的绩效——这些通过学习之后即时的测试或一段时间之后的行为监控可以量化。

安全意识教育的难点在让员工参与到安全工作中来,也就是在日常工作中认真对待安全。这话说过来,还是安全意识教育目标没有完全达到理想的效果,虽然部分员工会在接受安全意识教育之后在行为上有些改变,甚至多数员工们在参加安全意识教育之后也会积极地看待安全职能部门的工作,然而这些员工在数量或比重上可能并不足够理想。

这是一个学习兴趣和教育理念的深层次问题,虽然几乎所有的员工们都渴望通过不断学习来取得职场上的进步,但是到具体安全意识课程时,可能从内心深处并不认可某些内容或组织内实施的安全控管措施。所以如果将组织所期望的“正确的”安全理念强塞给员工,即使员工们不乐意,或迫于压力,也得认真学习以便通过测试。

对一些安全意识内容进行培训讲解之后立即进行的测试实际上只是一种短暂记忆能力测试,昆明亭长朗然科技有限公司的安全意识教育顾问Alice Wong说:短暂记忆测试很难深入到员工们的神经意识中,更别指望在培训之后员工们的安全行为能够有什么改观。引发学员们对安全的思考,挖掘出学员们内心的安全意识学习渴望,吊起学员们对安全正确认知的胃口,激励学员们在模拟安全场景中作出正确的选择,比直接而苍白地告诉员工们为什么需要安全、安全是什么以及如何保障安全等等更为有效。因为员工们在学习过程中的主动参与已经在他们的大脑中植入了难以磨灭的深刻印象,在面临安全实际问题时进行正确选择的细胞已经萌发,安全意识基因已经在员工们的体内形成,所以互动式、场景式、参与型的安全意识教育如同应对安全威胁的预防针一样,开始生效了!

安全意识教育不能仅仅靠贴海报、发手册或放大片,单向的输入不能引发受众的思考,对认知和行为的改变效果不够,唯有参与式的安全意识学习,才能给学员位最深入的学习体验。

security-awareness-participation