信息安全意识杂谈

信息安全意识是信息安全的一个不断发展的部分,其重点是提高人们的防范意识,以针对快速发展的信息形式带来的潜在风险,以及针对人类行为的快速演变威胁。随着威胁的成熟和信息价值的增加,攻击者已经增强了他们的能力并扩展到更广泛的意图,开发了更多的攻击方式和方法,并采取了更多样化的动机。

随着信息安全控制和流程的成熟,可以规避控制和流程的攻击手法也随之成熟。攻击者已经成功定位目标并利用个人的行为来破坏组织网络和关键基础设施系统。不了解信息威胁的个人可能会在不知不觉中绕过传统的安全控制和流程,并导致组织遭到入侵和破坏。作为这种安全态势的应对措施,信息安全意识从无到有,现阶段正在逐渐成熟。

当前,网络安全作为一个商业问题已经成为大多数首席信息官的主要议程,这展示了应对当今网络威胁,新型控制的需求呈上升趋势。对此,昆明亭长朗然科技有限公司信息安全意识专员董志军表示:信息安全意识的宏观目标是让每个人都意识到他们容易受到当今威胁形势中的机遇和挑战的影响,进而改变人类的不安全行为并创建或改进组织的安全文化。

信息安全意识产业正在不断发展,以应对不断演变的针对个人信息的网络攻击,以及应对大规模信息安全漏洞带来的不断增加的成本支出。此外,许多人总是从技术控制方面考虑安全,没有意识到个体人员才是攻击者针对和利用的目标,他们的行为可以增加风险的级别,反过来也可以成为应对风险和威胁的控制措施。

评估和衡量信息安全意识突出了对准确指标的需求。为了满足这一需求,信息安全意识指标正在迅速发展,以便了解和衡量人类威胁状况,衡量和改变人类的理解和行为,衡量和降低组织风险,并衡量将信息安全意识作为对策的有效性和成本。

虽然信息安全意识和备受瞩目的违规行为是大多数组织议程的重中之重,但是大部分的组织并不愿意在这方面花钱。首先,成功的安全意识计划需要高层和财务支持。其次,传统上的安全控制和对策大多都是技术性质,理解和改变人类行为所需的软技能比较缺乏。最后,就成熟度模型而言,安全意识仍处于起步阶段,相关国际机构各自为政,行业厂商都处于野蛮生长状态。

有效地衡量人类风险行为很困难,因为风险行为、信仰和看法往往是未知的。尽管如此,仍然不乏一些衡量指标和方法,有定期运行安全意识水平考核或模拟网络钓鱼活动的机构,往往能拿出一些量化图表,当然这些衡量标准是否科学,客户的接受度认可度如何仍然有很大存疑。

昆明亭长朗然科技有限公司是国内最早进入信息安全意识领域的实践者和领航者,我们帮助各类型组织机构建立适当的信息安全意识宣教计划,以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

信息安全宣传活动策划案

对于一个现代型的企业级机构来讲,信息保护越来越重要,而信息保护中人的要素,也越来越受到重视。一方面,信息安全从业人员在不断提升自我的技术和管理水平,另一方面,普普通通的终端信息用户,也在不停地提升信息安全意识,以应对各类新型的信息安全威胁。

大到国家,中到城市,小到部门,信息安全意识教育的玩儿法越来越多。致力于信息安全意识宣教的昆明亭长朗然科技有限公司创始人董志军赞到:向全民宣传信息安全,这是一件很好的事情。同时我们应该知道,信息安全宣教活动不仅仅需要“秀”,也需要“秀”出特色,“秀”出不同。

我们可以根据业务及信息安全政策情况,成立“信息安全宣教活动组委会”,事先设计制作相关宣传品,包括海报、展板、视频、试题、奖品、游戏、网站,甚至APP等等,并做好系统的测试准备。

再丰富的宣传品,没有人气肯定不行,我们要提前邀请一些“重要人物”来提升人气,包括嘉宾、领导、活动主持、演职人员、员工代表、部门协调员等等。我们要告诉这些“重要人物”们该如何参与宣教活动,该如何做好准备工作。

下面,是我们的一些关于活动策划案的创想,这是假定安全宣传窗口时间为3至10天而定的。

宣传方案分为多个场景,有:主场大戏、每日分场、线上活动、补充措施等等,多个场景的好处是让“秀”变得自由灵活、覆盖全面、有声有色、丰富多彩。

主场大戏

主场大戏通常是核心宣教区,当然也是重点。通常主场大戏是选在首日或中间某日人气较旺时候进行的安全大型宣传活动,可使用室外空地或大型室内场地,搭建互动式的宣传舞台。

主场大戏的主要节目可以是通过发动各部门间的信息安全知识拼比,来激发受众的参与热情。当然需要一个活动节目单,由活动主持人进行简单介绍,并邀请负责信息安全管理的领导简单讲话。

接下来就可以开始比拼赛了,比赛形式可以参考电视娱乐节目,比如设置“比比谁的桌面更安全”擂台比拼赛,以及“信息安全意识现场测试”大赛等等。“重要人物”做评委和点评,也可对节目进行现场录制并转播至网络,也可发动网上互动如投票、通过参与奖等来激发未能到现场的员工远程参与活动。

总之,主场大戏的重点就是在娱乐气氛中培养员工们的信息安全意识,当然纯主场“娱乐”还不够。安全是立体的多重防御,安全意识宣教也是,需要多台戏。

每日分场

每日分场,顾名思义,是主场大戏之外的小分场,说到底是优化分配人力资源和时间资源,毕竟如嘉宾、领导等“重要人物”不可能每天都陪着我们搞宣传活动;另外,主场大戏所覆盖的受众人员和宣教内容可能并不全面,所以每日分场的补充就很有必要。

每天分场的做法是在员工们空闲时段,比如午餐之后的时段,重点宣传一个信息安全主题。

通过播放本主题的动画视频、进行知识讲解和现场答疑等,并进行本主题相关的小规模的互动式挑战活动,比如主持人在大屏幕上播放互动测试、参与员工进行抢答、对得分最高的进行奖励等等比较简单快捷有趣的安全意识推广活动。

这种每日分场的方式不需要主场大戏那么隆重和正式,但是每日分场的时段毕竟有限,也受制于空间限制,如果想要更为全面,则可以考虑线上活动和补充措施。

线上活动

线上活动的好处是让受众不再受制于时空限制,特别适合大型组织机构、多站点分布式跨国公司、有轮班的制造企业和IT公司等。

线上活动可以选择如下活动项目:

  • 模拟电信诈骗及网络钓鱼等的渗透测试,活动周期间,随机抽取一些员工的电话号码,打电话进行窃取工作信息的模拟诈骗;发送电子邮件进行模拟社会工程学诈骗,看员工们有哪些会点击网络链接,反馈渗透测试结果给参与者,通过结果提升信息安全认识,更加激发对信息安全重要性的理解和防止社交攻击入侵的敏感度。
  • 模拟场景式黑客防范挑战游戏,云端HTML5让员工可通过电脑或手机移动终端来使用,设置十来个安全意识关卡供参与者挑战,设置挑战成就奖和参与者幸运抽奖,以吸引员工们积极参与。
  • 信息安全活动主页,放置领导讲话视频,动画卡通视频、各活动参与链接、信息安全门户及其它安全页面链接等,并将信息安全活动主页链接放置到海报及内部新闻网等相关栏目。
  • 针对全员或重点人群如办公室人员的信息安全意识电子学习课程,可以在安全周结束时开启。

线上活动特别适合于互联网年轻一代,对于一些年纪较大、IT水平较差的受众群体来讲,他们可能并非线上活动的积极玩儿家,我们需要补充措施——传统的沟通宣教方式。

补充措施

在如宣传栏、员工通道、食堂等地张贴安全海报,活动宣传品等,在宣传安全意识的同时,引导更多有兴趣的员工参与到信息安全宣教活动中来。

活动收场

最后一日进行活动总结,感谢受众们积极的参与,感谢嘉宾、领导等“重要人物”的参与。可以请领导讲一讲信息安全的重要性,请员工代表讲一讲信息安全心得,请IT安全人员总结活动经验,将安全意识宣教活动情况记录下来备后用等等。

总结和补充一下,一场好的信息安全意识宣教“秀”需要有好的创意点子、好的活动策划、好的资源素材,以及好的活动组织。虽然整体上说人人都有不少好的点子,但是其实策划和运作一次群体性的安全意识教育活动并不容易,特别是需要不少资源,如安全擂台比拼赛、安全意识测试题和模拟诈骗短信、电话、邮件、虚假网站、线上游戏、动画视频和电子课程等等。不管您需要什么宣教资源,或者有什么好的宣传活动点子想实现,都欢迎您联系我,一起来探讨和实现。经过多年的实战积累,我们有大量的信息安全意识宣教素材和在线系统,可以进行快速微调和立即使用。

欢迎您随时通过如下方式联系我。当然还是一如既往地欢迎您前来或路过昆明时,抽空到昆明亭长朗然科技有限公司,来参观指导工作,或者只是叙叙旧,或者只是认识和结交个新朋友。

董志军

手机:18206751343

微信:18206751343

邮箱:james@securemymind.com

QQ:1767022898