信息安全意识教育培训从何处开始

为什么要搞信息安全意识教育培训呢?IT人会觉得这是与用户沟通的简单工作,还不如培训用户一些常规IT技能来的实在;而安全专业人士又会觉得安全应该是高大上的,对用户来讲最好是透明的,也就是不影响用户日常作业的情况下通过安全技术来保护用户应对各类安全威胁;人事专员为觉得搞搞培训好哇,只是信息安全培训专业性太强,全体成员不需要了解那么多,还是围绕业务的培训更能显示价值。

这些只是一些代表性的想法,当然在各种角色的职位上,不同人的想法各异都是可以理解的。然而,对一家组织来讲,能站到全局的高度看问题的人,往往是是最受欢迎的,当然也是最有晋升前途的。如何跳出小部门的视野,胸怀组织,从全局的高度来看信息安全意识工作呢?昆明亭长朗然科技有限公司安全教育顾问董志军说:为什么做一件事情?一家成熟稳重的组织机构是绝不会盲目跟风的,不管这件事情是一个项目还是一项计划,决策层要看的是它的价值。

信息安全意识教育培训的终极价值何在呢?对商业型公司来讲,有几点,最重要的无非是在通过保障重要信息的安全保密,来保障业务的成功,特别在受专有知识技能驱动的竞争性行业,重要的信息就是真金白银;其次是给客户、供应链及合作伙伴以信心,因为这信息化时代,数据是互相分享的,大家都是一条船上的,不管谁那儿出现安全事故,大家都会受伤;最后,无非是守法合规经营的驱动力,不管是国家和地方的强制性安全法规,还是行业的操作规范,都越来越多,不管有意无意,恶性的安全事故都会让涉事者、直接负责人和相关管理层受到法律的制裁。

信息安全意识教育培训的突破口既然找到了,为彰显在信息安全保护方面尽职尽责的决策者批了您的安全意识推广计划或信息安全意识培训项目,接下来就该行动起来了。您要知道领导这么信任您,您也得把这事儿搞好,搞得有声有色,又确实有效力,才能不负领导的信任和托付。

万事儿开头难,即便如此,您也不应该将就或盲目跟从,看别人家在怎么搞,自己也怎么搞,那我打个恶心的比方,别人吃屎,您也吃啊?我并没有贬低任何行业人员的意思,只是我亲见到太多不动脑袋的跟随者,买了一些不是很适合自家的产品和服务,浪费了单位的金钱其实并不是最重要的,而没有做出应有的信息安全意识教育成绩,没能借此良机,给领导和自己的职场加更多的分儿,才是真该感到可惜的呀!

那么,信息安全意识教育培训到底该从何开始呢?您家单位的业务和别家的一样吗?不完全相同甚至完全不同吧!您家单位的信息和别家的也就不一样吗?我相信是绝对不同的,每家都有自己特别看重的信息数据资料,而且各不相同,它们又以各种形式存在,电子流、纸张、存储、甚至员工们的头脑里——知识库和经验库。

说到这儿,您可能明白如何着手了。没错,从信息资产入手!找出关键的信息资产,对组织成功有用的都算,最重要的是能影响组织机构存亡的那些!

搞搞这些信息资产清单和分类,您就知道,IT安全、计算机安全、网络安全、应用安全什么的都太片面,只是我们信息安全意识教育培训工作的一个模块一小部分,我们谈的是成功、是业务,不是一台不到5000块的机器设备和一个安全极客眼中的系统漏洞!恭喜您!您关注的层面不同了,您已经入门了,找到感觉了吧!

信息资产这么分散,那保护信息安全要靠谁?当然,您会一改往日啥事都要防火墙防病毒打补丁的技术观点,您开始关注信息安全技术以外的东西,人员和流程,没错,信息安全是所有能接触到组织的信息数据的人的职责,要靠的是大家,而不是此前您心中所想的IT安全英雄!

好了,到此,我该停止了,因为我的目的已经达到了,至少差不多了。昆明亭长朗然公司董志军诚恳地与您交心说:在信息安全意识教育培训方面,我引导您走向了正确的认识,这是一个好的开端,我为您感到高兴,您也应该为自己走向正路、为自己的健康成长感到自豪。师傅领进门,修行靠个人。我不敢自行妄认是您的师傅,但是愿意与您交接成为朋友,接下来的路,我更愿意和您一起走下去。帮您就是帮我自己,因为我希望通过帮助您获得信息安全意识项目和计划的成功,帮您所在的单位提升人员的信息安全意识,帮您获得晋升,进而在这个过程中共同成长,获得自己应有的收益。

我们昆明亭长朗然科技有限公司,专注于帮助客户提升员工的信息安全意识,我们开发了大量的安全意识宣教内容,包括动画视频、互动游戏和电子课件等等,也提供云端在线的电子学习平台,我们成功客户覆盖欧洲、亚洲、美洲,多家您熟悉的世界百强都选择了我们,他们都不一样,当然使用的信息安全意识产品和享受的安全意识教育服务也各有不同。欢迎有兴趣的您联系我们洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

投毒案对信息安全从业人员的启示

上海复旦大学投毒一案告破之后,北京清华大学朱令铊中毒案件火烧白宫,徐州中国矿业大学3名学生铊中毒事件重回视野,武汉某高校研究生开水房投毒“药”倒两同学被捕……

看客们往往会认为下毒手的这些人心理有问题,的确,为一点小事儿对同学投毒,很不合乎伦理道德,更是草菅人命的违法行为,应该受到严厉的惩罚。

不过,事后惩处可能并不是最好的结局,受害人的心理和生理会留下一辈子的创伤,投毒人也会内疚一生,直至死去。事前的防范胜于事后的惩戒,我们要做的是防止恶劣事故发生,以降低损耗。

在信息安全领域也是如此,首先,严重的安全事故可能给业务成功带来致命的影响,严重损失造成之后再后悔没有及早进行防范,已是“亡羊补牢,为时已晚。”不过,昆明亭长朗然科技有限公司安全顾问James Dong说:虽然道理简单,但是仍然有不少组织机构的业务管理负责人不能认识到“防范未然,未雨绸缪”的正确安全理念。安全管理层需要耐心地向业务部门解释信息安全,向他们灌输正确的安全意识,而不是当他们讲“这事儿不会发生”便退却了。

投毒人员并不完全是十足的恶魔,他们也是有血有肉的身躯,他们做出这种“过份”的投毒行为并非他们的天性使然。问题的最初因素可能是其它小矛盾或利益之争,这些因素可能致使投毒人员自认为是“受害者”,必须进行报复行动。我们常常认为这些地下的恶劣手段是弱势群体的自保或反抗行为,但“弱势群体”的“炸弹攻击”行为造成的损失要远大于最初的小矛盾或利益。

在不同群体和人员之间,利益的博弈是永恒的。如何适当的“分饼”,造成多方共赢,皆大欢喜的局面,是管理者需要重点关注的课题。而在利益分配之外,信息安全管理人员则更多要注意解决“犯罪心理”问题。

其次,信息安全管理人员在制定安全策略、标准和规则时要注意考虑安全意识“弱势群体”,即对安全认知不够深入的员工们可能的过激反应,制定太过苛刻不够人性化的安全规则可能会引起强烈的对抗,如刻意漠视、躲避或破坏。员工消极怠工、代理翻墙、禁用安全软件等行为多都源自对正确安全理念的不理解,要获得正确的理解,需要我们传递正确的安全意识信息,而不是通过强力压制手段要“弱势群体”接受。

此外,在执行安全相关规章制度时要体现出公平公正,至少要让员工们感觉到这一点。信息安全的实施和检查工作表面上看起来也是“得罪人”的事儿,严格的防火墙、上网行为管理和过滤等访问控制措施会影响到部分员工的“正当”信息获取和使用,对于员工们在安全方面的小过错而进行的过度严格的惩罚会让员工心怀不满,伺机报复。

其实,在安全控管措施上给员工们更多的自由,给人们有尊严有面子,实际上人们更会珍惜这些;再给员工们正确的安全意识指导,也会获得人们对安全工作更多的理解和尊重;而对于安全方面的过错,应该以教育改过为大的指导方向,不伤大雅的小的过错提醒一下便可;即使碰到严重的但尚未造成重大损失的潜在安全隐患,也不能立马断定是严重违纪,应该好好进行一番调查,仔细说服教育,让其心服口服认识到自己的错误。

最后,我们深入研究员工们的安全违规行为,会发现背后都有各种各样的“理由”,有这些近乎荒唐的“理由”存在说明这些员工们对正确安全理念的认识不够。如同对待业务管理层宣讲信息安全积极主动防范理念一样,我们更需要向全体员工传达正确的信息安全意识,让人们知道自己的安全职责、理解公司的安全规章并且实践正确的安全行为。

不要让公司员工成为信息安全方面的“投毒人员”,需要让员工们在信息安全方面“想开些”,需要加强安全心理素质教育,并且普及正确的信息安全理念。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898