产业巨鳄的安全意识教育创新体验分享

不管一家公司是否完全触网,或者有严格的内外网隔离政策,安全意识培训都是不可忽视的重要组成部分,其被重视程度也越来越高。——一家业界标竿公司的信息安全总监如是说。

从多重防御、木桶理论等观点可以看出信息安全专员们往往都是完美主义者。安全意识教育是让信息安全方针政策、制度规范、标准流程以及安全技术方案、控管措施和产品等等被人们理解的必须经历的有效沟通途径。

很多的安全相关法规制度和策略流程不能被有效落实和执行,关键的问题在于它们只停留在“纸面”上,被束之高阁或只被专业的安全从业人员所知晓,显然不能期望通过起草、签署和发布一项规范、设置生效期便能获得用户的理解和支持。

业界很多非专职安全的泛IT从业人员可能只认为安全是一些麻烦的事儿,在业务流程或软件应用中加入一些安全控制措施即可。也有“技术控”类的安全技术人员会认为总有应对各类安全问题的解决方法,多部署一些安全控管系统,总会让安全水平提升起来。实际上在实施安全技术方案的时候,才发现要解决的安全问题远不是表面的那一些,深层次的安全管理问题会逐渐暴露或发掘出来。同时受新上线安全系统影响的用户也总是想办法忽略、躲避甚至穿越这些安全系统。IT团队需要改变头痛医头、脚痛医脚的方法,而从全面的体系构建和用户服务体验等层面开始采用正确的安全解决方案。

传统的安全意识培训关注的重点是知识的灌输,包括安全规章制度和相关的安全应用技能等等。不管通过通过课堂教学方式、设置安全教育展板标语还是发放各类安全培训资料,都企图让员工们了解其需要掌握的安全知识。这实际上是错误的出发点,安全意识的目标拿捏的不够精准,因为安全意识的核心目标应该改变员工们的安全行为和习惯,安全知识只有被应用于实际工作中才算有价值。所以安全管理负责人员以及安全意识培训人员应该经常问一问:如何才能让做正确的事情,让这些成为员工们的默认安全行为,进而演变成公司信息安全文化的一部分。

讨论到安全意识教育的效果,重点在改变员工们的安全行为。同业界专业的信息安全意识服务机构昆明亭长朗然科技有限公司进行合作,信息安全团队将新入职员工分组纳入安全行为变革计划。一批“经典组”仍然按照旧有的体系实施安全意识培训;另一批“实验组”采用新式的安全意识教育理念和方案。从入职面试时便开始追踪两组员工的安全行为,一直到他们参加入职安全培训和执行日常的工作任务。

“实验组”着重采用鼓励手段,培训内容立求简单有趣易行,安全培训关注点也是较为普及性的课题:比如关于密码的选择和使用、钓鱼防范、物理访问控制安全等等。培训鼓励学员通过企业安全论坛、博客、课堂、邮箱、留言簿、讨论会等等渠道正面表达自己的意见,学员不会因为错误的观点和言论而受到惩罚,反而会得到由于积极参与辩论而获得安全意识方面的纠正和启发。

通过在重点阶段对两组的考核评估对比,安全意识项目团队发现“实验组”的成员无论在安全意识的“知识”层面,还是在安全行为的“习惯”层面都远远超出“经典组”,具体的考评手段除了安全意识知识技能测试、钓鱼邮件攻击测试、社交工程电话攻击测试、尾随渗透测试、办公室可疑探测攻击、垃圾桶机要文件搜集,也包括桌面安全检查结果统计分析、人为原因造成的安全事故统计分析、安全意识认知与行为统一性分析、安全系统体验指数及服务满意度分析等等。

举例讲:安全意识教育团队设置了邮件列表来发布钓鱼报警信息,“实验组”成员的参与回复率是“经典组”的三倍;用于反钓鱼意识测试的钓鱼邮件只有“经典组”中的成员“中招”——点击了测试链接或回复邮件泄露了机密信息;而从防垃圾邮件举报邮箱及反垃圾系统分析,“实验组”举报的未成功过滤的钓鱼邮件数量是“经典组”的五十余倍!

在办公室物理安全方面,安全团队也不时选择一名“可疑”员工,不要他(她)佩戴工卡,尝试尾随其他员工,看看多少员工会注意到这件事并且采取正确的工卡询问及指引行动。这名“可疑”员工也会在办公区域“贼头贼脑”地尝试搜集和窃取各类信息资产,包括获取员工桌面的信息设备和机密文档,潜入会议室、文印室等地点搜集重要信息……通常能够意识到安全问题并且提出质疑和询问的是“实验组”的员工们,不过“经典组”的员工在经历过一次之后也开始变得警觉起来。

参与此次项目的昆明亭长朗然科技有限公司安全意识交付专家James Dong说:安全管理负责团队不能为了完成培训任务而进行安全培训,而是要着眼于建立企业安全文化。对个体员工的安全意识认知水平和安全行为进行建档、打分和跟踪,勇于采用创新手段并不断重复运行和保持持续改进,安全意识教育才会更加有效。

physical-security-awareness-test

是否应该对用户的安全失误进行严惩

不少大中型公司制定了严密的信息安全规章制度,告知并让员工们签字认可对这些规章制度的遵守。为了让公司的信息安全政策获得落实,确保这些安全规章制度得以有效的执行,也有不少公司制定了信息安全事故处理流程,以及员工违反安全相关规定后的惩戒措施。

的确,总体上来讲,员工们并非学生,也非儿童,需要为自己的不安全行为负责,也只有员工们担负起了相关的安全责任,公司信息安全规章制度才能受到重视,企业安全管理水平才能获得提升。

不过,我们也不能简单的将所有的员工安全违规行为都进行惩戒,这是因为部分信息安全违规后果并非员工们的主观愿望。实际上,很少有员工希望公司出现严重信息安全事故,几乎没有员工希望惹上安全事故。举例来讲,如果员工不小心点击了钓鱼邮件中的链接或打开了含有恶意代码的附件,进而让公司内部网络受到病毒的袭击,他(她)是否应该受到惩罚呢?

惩罚还是不惩罚,这是一个问题。昆明亭长朗然科技有限公司的企业安全管理顾问James Dong建议说:除非对员工们有足够的信息安全行为激励措施,否则,必要的惩戒措施并不能少。同时,要注意的是惩戒也需要一个标准,一个度量。过重的惩戒容易引起员工们对信息安全的误解、恐慌、逃避甚至抵制,后果不仅会让信息安全管理工作陷入被动局面,更可能让消极态度影响员工们的生产力。过轻的惩戒引不起员工们对信息安全的重视,甚至会变相鼓励铤而走险的恶意违规和套利行为。

那该如何制定科学的信息安全违规行为惩戒标准呢?亭长朗然公司James称:这也需要就事论事,综合评测。如下几条是必须考虑的因素:

1.当事员工对信息安全违规行为的认知,如果是新进员工在根本没有信息安全保密概念,也未参加相关安全意识和规章的学习之前无意中犯下的信息安全错误,对其进行惩戒则会显得有些“唐突”和“冤枉”。

2.当事员工违反信息安全规章制度的意愿,是明知故犯,恶意为之;还是疏忽大意,意外犯规,这需要区别对待。毕竟这两种意愿代表着涉事员工是“好人”还是“坏人”。

3.当事员工违反信息安全规章制度后的态度,是积极主动承认错误,愿意参与补救行动帮助挽回或降低公司损失;还是不思悔改,死不认帐,甚至歪曲事实、毁灭证据、妨碍调查。这关系到此员工在未来的信息安全行为表现,所以应该占相当大的比重。

4.当事员工违反信息安全规章制度所造成的后果,按对公司带来的负面影响来进行适当的惩戒,是比较科学合理的准则。影响微小的没有造成什么危害的,以说服教育为主;对公司形象、信誉造成恶劣影响并带来重大经济损失的,则需要在公司范围内进行通报批评、降职降薪,解除劳动关系直至诉诸司法手段。

说到底,如果员工在不了解信息安全相关要求的情况下犯了错,不应该惩戒;如果是好员工但是并非主观意愿情况下犯了错,我们不能向好员工的积极行为泼水;如果员工在犯错后有正确的态度,我们应该给予改错的机会;如果员工的安全违规行为并没有造成严重的损失,我们也不要小题大作。

我们需要让员工们担负起自身的信息安全责任,但也不能让人们对信息安全变得恐慌,也不能让信息安全成为业务成功的羁绊。