为全球知名的自动化控制设备厂商创作情报安全课件

创立于1933年的欧姆龙集团是全球知名的自动化控制及电子设备制造厂商,掌握着世界领先的传感与控制核心技术。通过不断创造新的社会需求,欧姆龙集团已在全球拥有近35,000名员工,营业额达8,595亿日元。产品涉及工业自动化控制系统、电子元器件、社会系统、健康医疗设备等广泛领域,品种多达数十万。伴随中国经济社会发展四十余年,欧姆龙在持续为中国地区客户、合作伙伴提供涉及工控、健康医疗、社会公共系统及电子元器件等领域产品及服务的同时,中国地区已成长为欧姆龙集团海外业务第一大市场。

欧姆龙较为大众熟知的产品包括电子血压计、计步器、磅和电动牙刷等健康医疗产品,不过,欧姆龙还有大众所不熟知的工业自动化事业,这项事业的成功强烈依赖支撑智能制造、物联网、生产机器人、未来工厂等等业务的核心技术。这些核心技术是保持丰厚利润的关键,自然会让行业竞争者们眼红不已,因而垂涎三尺。而保护这些核心技术,确保领先的竞争力,就需要在信息(情报)安全方面下足功夫。

欧姆龙(上海)有限公司的IT情报安全专员联系到我司(昆明亭长朗然科技有限公司),希望我司为其创作情报安全课件,以武装起全体员工的情报安全头脑,进而与IT安全对策合力形成一道严密的情报安全网,以保护好公司信息情报、计算机系统、网络设施等信息资产的安全。对于全球知名的客户,我们确信其必定拥有较为完备的信息安全管理体系,在输入的文档方面会比较齐全,一方面我们可以从中学习一些,另一方面在合作中不会出现难以控制的局面。我们最怕那些安全管理水平很低,任何可以输入的文字材料也没有,自己也弄不清真正需要什么,却又想要这又想要那的客户。因此,我们很乐意地接受了该项目,并应要求为客户提供了一段SCORM课件制品样本,其中包含客户指定的一个情报安全意识话题。客户成功导入到企业学习管理系统,确认功能没有问题,又看了样本课件中的情报安全内容创意,觉得可以接受,便确定了和与我司的合作。说到采购签约这点儿,外资公司即使是巨头也很好打交道,只要展示出能耐和诚意就行。在这方面,不会像很多国企的采购部门,为了避免风险显示合规,要求这个政府牌照那个资质证书甚至纳税和社保记录,不仅增添不少麻烦,还会引发一些资质造假和牌照交易等问题,甚至招来更大的交易隐患和风险。

在收到欧姆龙提供的输入文档后,我司发现主要文档都比较旧,差不多是十年前的了。而这十年,IT与情报安全环境都发生了比较大的变化,特别是社交媒体和移动计算是十年前的文档无法体现的。因此,我们做了些简单的更新建议,特别添加了新型安全威胁相关的知识和应对策略。客户预览了文字脚本稿后,也没有给什么修改意见,指示我们继续。我们理解客户的反应,从文字稿上看往往看不出什么东西,因为文字稿与最终输出的课件作品在观感上的差距是很大的。所以我们就加紧课件制作,展示形式包括知识讲解、故事案例、互动游戏、单元测试及学习证书等。由于项目跨农历春节假期,因此比计划中的稍稍拖后一点,不过也很快完成了制作。客户一看作品,告诉我们超出了预期效果,这是对我们努力工作的最大肯定,我们非常得意。在进行了少量的内容修改之后,最终课件时长超过预期太多,客户考虑到时长短些的课件会更易让学员理解和接受,于是我们便将该课程拆分成了三个独立课件包,客户的eLearning计划也分三期进行。

为了让课件内容更显得贴身,我们要求客户拍摄了一些公司、工厂的实景照片、外景等等,用于动画片头和部分场景之中。我们相信这些简单的定制化,会让学员感到课件内容更贴近实际工作,让情报安全与自身工作的关系更紧密,进一步更好了理解和接受情报安全相关的政策要求。

我们了解到欧姆龙有一项非常强的未来预测理论“SINIC理论”,凭借该理论,欧姆龙不断提前发现社会的潜在需求,并结合独创的传感与控制技术予以满足。以欧姆龙为代表的领先厂商能够在不断变换的世界经济产业格局中把握好前进的方向,坚持不断进行科技创新以满足未来的需求,这种远见卓识非常了不起,值得我们研习。在信息(情报)安全方面,我们相信这些领先厂商的做法也有值得我们学习的地方。在当今高度信息化社会大背景下,电脑、网络、人工智能等IT技术正在飞速前进。在技术创新和生产力得到强化的过程中,因信息的丢失、损毁、泄漏等事故造成损失的风险也日益增大。控管这些信息安全风险,IT安全诚然很重要,与此同时,信息资产使用者的日常情报安全意识和行动也很关键。因此,所有员工都必须充分认识到保护信息(情报)安全的重要性,掌握必要的信息(情报)安全对策,并且严格遵守有关信息(情报)安全的法律法规、以及公司(工作单位)的规章制度。针对全体职员的信息(情报)安全意识培训,是实现所有员工参与信息(情报)安全对策的关键工作。

新时代员工仍然容易受到网络攻击

最近,一项国际调查表明:有近一半的职场新员工不知道他们的公司是否有网络安全政策。该研究还表明,员工需要更多关于网络安全政策的沟通和培训。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:如果在国内搞调查,这个数字应该远超过一半,达到90%都不奇怪。很多中小型规模的组织机构,甚至是机关单位,真的就没有网络安全政策,更不能说让员工知晓该政策的内容了。

该调查还表明,组织机构的各个级别的员工们都可能没有意识到他们的工作单位可能面临IT安全威胁。有75%的受访者表示,他们的雇主在网络安全方面完全没有做任何事情,更不用说在该领域进行培训了。简言之,新时代员工几乎没有意识到其所在工作单位的网络安全与自身之间的关系。

有人可能会对国际调查表示疑惑,那些调查的结果有什么用呢?

一方面,员工缺乏意识会使组织面临IT安全风险。攻击将越来越频繁、越来越复杂,以突破组织可以实施的所有保护措施。当下,即使国家、运营商甚至IT部门实施了大量的网络安全保护措施,但是员工们会觉得这是应该的,和自身没有什么关系。这种置身事外的观念,正是网络不法分子的想要的。为什么呢?因为不法分子开始利用人性的弱点,通过员工防范意识的薄弱,冒充权威身份,直接通过电话索取内部甚至机密信息。或者,通过钓鱼邮件、诈骗网站加上恶意软件,渗透员工使用的终端计算设备,进而盗取员工们的身份,以及更多信息资产。

另一方面,网络安全是一场与网络不法分子的竞赛,战场不仅仅是专业人员——IT团队,也包括广大群众——员工。要动员员工们,组成群众防线,需要提升员工们的技能并加之鼓励。俗话说:要出师有名,要有正当的理由。就需要有拿得出来的网络安全政策,不然,员工们可能会在诸如“将计算设备保持最新”方面,有“为什么要我这样做”等等的疑问。

当下,远程工作的激增带来了针对远程工作人员的新一波网络攻击,多位行业专家表示,传统的建筑园区,已经无法为这些终端用户提供边界安全防范,缺乏网络安全培训可能会增加网络风险。

为了提高员工对IT安全问题的认识,专家建议所有规模的组织机构都保持“自上而下”的网络安全政策。有的机构想从网络管理员“自下向上”推,经常会碰一鼻子灰,员工对IT安全问题的认识应该由组织机构的执行领导层来推动。当公司领导者在整个组织中强调并传达IT安全性时,员工才会更加意识到安全的重要性,并为网络威胁做好应对的准备。

网络安全政策,不仅可以名正言顺地“抗击”如黑客等网络威胁,亦能赋予员工网络安全能力,包括责任和义务。

提高安全意识的一种方法是在新员工入职期间进行安全培训。向更高级别的员工提供更合乎其角色和职位的IT安全入职培训计划,能让该高阶群体对IT安全威胁的意识和应对准备程度更高。

总之,为所有员工提供IT安全入门,可以缩小入门级和更高级别员工之间的IT安全知识差距,并有助于确保整个组织对网络安全问题有更加深入的认识和准备。

通常,当人们认为自己处于危险之中时,为时已晚,要么是因为他们认为自己的数据不值得窃取,要么是因为他们没有看到投资网络安全培训可以带来的价值。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:投资网络安全与买保险有相似之处,有时我们看到的一些组织机构的驱动因素只是他们自己或他们的同行成为目标并遭受某种形式的财务或生产力损失,然后最终意识到网络安全的重要性。当管理者认识到恶意软件攻击不仅变得更具破坏性,而且比以往任何时候都更容易感染之时,或者在面临强大的网络攻击骗术,员工们脆弱不堪时,再急忙补搞网络安全意识培训,会发现并不会获得立竿见影的效果。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。