勿让新员工成为信息安全短板

近几年各类型组织机构在信息安全管理上多少都有些作为,这是不能否认的事实,其中包括部署和实施各类安全控管措施如最基础的防火墙系统和补丁修复管理流程等等。然而也不能否认的是:这些安全控管措施的受影响者、使用者和管控者都是员工,只有员工们对安全控管措施的认知要达到了一定的水平,方能理解和接受信息安全控管措施的目标、战略和方法,进而使其日常的安全行为选择与业务目标和战略保持一致。

新员工的加入或者老员工的流失都可能增加信息安全风险,无疑也会给传统的以技术为主的安全控管措施带来新的挑战。不断增长的网络钓鱼诈骗、社交工程攻击,加之移动互联网与社交网络向企业应用的日益渗透,让安全管理层开始思考和强化员工层面的安全意识教育。

CNNIC发布的最新一期《中国互联网络发展状况统计报告》显示:手机上网的比例保持较快增速,网民多在家中上网,提供公共上网设施的场所使用率逐年下降。而中小企业中,使用计算机办公的比例为91.3%,使用互联网办公的比例为78.5%。这无疑在提醒各类组织的安全管理负责人员——信息化的成功已经越来越和终端用户的安全使用密切相关。

特别是在新员工方面,公司需要使用更加全面和完整的战略方法,来向员工们沟通安全策略、标准和工作流程,来教育培训员工们遵守关键的信息安全规章制度。昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:传统的基于邮件的安全通报或纸质的印刷品显然缺乏足够的互动,而且容易被员工们忽略,更难以衡量其有效性。

摆在我们面前的关键问题是:有多少员工真正了解公司的安全政策呢?他们知晓哪些是信息安全策略允许的,哪些是信息安全策略禁止的,以及安全策略为什么这样要求吗?

亭长朗然公司的Alice称:多数的安全事故的起因都和内部员工的安全意识薄弱密切相关,如果员工们正确对待信息安全策略,并且持续执行必要的安全流程,多数的信息安全事故可以得到避免。

传统的邮件通报和纸质文档对于改进员工安全意识的效果不够理想,课堂式安全培训又比较耗费时间和人力,而在信息时代,通过电子学习方式来进行信息安全意识教育无疑是更有效的,也更经济实惠和方便管理的。

安全意识电子学习可以提供员工学习进度的良好监控,也容易及时通过测试来衡量员工的学习效果,更能向审计和监察机构证明安全意识培训工作得到了必要的开展。

此外,调查表明,除了新员工容易违反公司的信息安全方针政策之外,老员工也容易疏忽大意导致安全事故的发生并且给公司带来更大的伤害,所以针对老员工的安全意识刷新也是很有必要的。

亭长朗然公司提供标准的信息安全意识在线学习课程以及在线学习平台的搭建服务,也提供量身定制的安全意识培训课件开发制作服务,可以让客户以最小的投资获得最大的安全回报。

勿让新员工成为信息安全短板,需从新员工安全意识教育培训抓起。

security-shortfall

保障信息安全策略的设计开发和有效执行

各类组织机构如公司为了保护信息资产的安全,需要设计开发适当的信息安全策略(也称方针或政策),更重要的是需要将信息安全策略发布给所有员工,甚至客户以及合作伙伴。

设计开发信息安全策略仿佛很简单,国际上有成熟的标准体系、行业里也有相关的安全法规,也有些模板可以供参考和拿来进行修改,说到底,信息安全策略常常被各类组织信息中心负责人看作是繁杂的文书工作,便简单委派给文秘相关的人员。

实际上,信息安全策略远不是能交给部门秘书或文笔较好的职员能充分胜任的,最重要的原因是安全策略的制定不能脱离公司的业务环境。昆明亭长朗然科技有限公司的安全管理顾问Bob Xue说:多数国内组织机构的信息安全管理仍然很依赖“人治”的混沌水平,主要原因是领导和下属们的文档意识并不够,这和跨国公司依赖规章流程来进行信息安全管理有很大的差距。

为了应付各类信息安全管理相关的检查和审计,多数组织不得不炮制出许多临时的“信息安全手册”,包括诸如安全策略、标准、流程等等,甚至有制作出相关的“记录”和“证据”,更有下大力气召开信息安全动员会,领导挂帅发动信息安全突击项目……

多数的结果是:运动战式的信息安全突击项目往往都是短视行为,一阵风过后,领导又要忙于其它项目,似乎并也不那么在意信息安全了,下属员工们在安全自律方面也松懈了……

问题在哪里呢?亭长朗然公司的Bob说:大量的安全管理文件都是公司内部的少数人员依据标准体系或法规遵循而“闭门造车”出来的,这显然脱离实际的工作环境,容易造成“曲高和寡”,不能被多数员工们所理解。目前只有极少数的公司信息安全负责人拥有安全管理方面的智慧,他们往往会将信息安全相关的文件体系分级委派给各个不同层级的部门和岗位,由这些部门的领导主管和信息安全协调人员们根据部门和岗位的实际情况撰写适合自身的“信息安全作业流程”。

当然,信息安全负责人可能需要出台在整个公司范围内所通用的安全方针政策和标准流程,但是更多的工作却是培训和指导各部门的领导主管和信息安全协调员,要让他们了解信息安全管理的基础智能和理念,以及提供必要的安全技能培训,让他们有能力撰写出合格的“信息安全作业流程”。

在撰写“信息安全作业流程”时也有一个误区,有公司信息安全流程负责人可能会拿出固定的模板,让各部门协调人员照样子搬抄,这是偷懒、不专业也不负责的做法。的确,整个公司范围内的“信息安全作业流程”应该遵循一些标准,比如至少要有作业流程的目标、流程中人员的职责、相关的信息输入和输出、必要的流程控制点和流程本身的所有者和维护信息等等。这些都是必要的,然而,这些并不是沟通和培训的关键。

那么关键的问题何在呢?亭长朗然公司Bob说:至关重要的是要让各部门领导和信息安全协调人员了解如何真正让信息安全作业流程发挥必要的安全控管目标,比如要让真正需要得到保护和控制的信息资产被识别出来,要知晓人员如何与信息及系统进行互动。

要了解人员与信息及系统之间的互动至关重要,因为工作流程要这些信息及系统的使用者们来执行,安全作业流程同样也要让他们来遵循。

在完成了适当的信息安全管理文件体系“信息安全手册”的建设之后,重要的不是搜集执行的结果——“记录”或“证据”,因为执行信息安全作业流程的主体是人员,而不是系统,所以重要的是加强与信息安全作业流程的使用者之间的沟通。

沟通的目的当然不仅仅是让信息安全作业流程得以顺利遵照执行,还有一个目标是强化信息安全策略的效力。沟通是双向的,但受众主要是信息安全作业流程的使用者,这里面可能并不限于公司内部员工。沟通的手段无非是培训和再培训,普遍性的安全方针政策和标准流程培训可以在全公司范围内实施,由信息安全管理领导负责人来牵头进行全员信息安全意识教育比较好;关于各特定部门和岗位的独特性培训,则需由信息安全负责人与各部门领导及安全协调人员进行磋商,以便合理分配和有效利用安全培训资源。

借助对信息安全管理的深刻理解和认识,信息安全意识教育业界领导厂商昆明亭长朗然科技有限公司不仅提供普遍性的信息安全意识培训课程,更能针对每家客户的独特性而量身定制安全意识沟通课程,这些无疑能够帮助客户强化信息安全方针政策和作业流程的有效执行。

如果您有兴趣了解更多内容,欢迎联系我们获取更多详情。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898