信息安全保密意识是员工的能力和企业的竞争力

子曰:政宽则民慢,慢则纠之以猛。猛则民残,残则施之以宽。宽以济猛,猛以济宽,政是以和。

对一家企业来讲,重要、敏感甚至机密的信息无疑价值不菲,而它们又不仅仅是存放在内部计算机中的数据,而且也是多多少少会流入到主管机关、客户、供应商、合作伙伴、甚至媒体中的消息,更不用说进入员工们的大脑中的那些与工作相关的知识和技能了。因此,信息存在于多个状态多个维度之中,要控管它们,是一件难事儿,全方位的措施是必须的——除了需要必要的安全技术措施之外,就是针对人员安全防范意识的管理。

对商业领域来讲,防范竞争者取得我们那些宝贵的信息并利用它们取得竞争优势,是企业保持竞争力的一项关键措施。在我们拿起法律武器,筑起知识产权保护网的同时,也拿起了科技武器,强化了黑客入侵防范和数据外汇防范,同样,我们也应该高举“发动群众,群防群治”的智慧武器,在人员层面,防范有意或无意的信息泄露。

在这里,我们不探讨专利和商标的保护,也不讲防火墙和黑客入侵防范的部署,这些都交给法务部门和信息科技部门的专才吧!我们要说的是提升人员的信息安全意识,这不仅是一种认知,更是一种态度和一种能力。比如说,有没有人不知道电话诈骗这事儿呢?相信社会中人、职场中人很少会有,但是为何仍有那么多人会成为电话诈骗的受害者呢?这个问题就值得我们沉思。昆明亭长朗然科技有限公司董志军说:在我看来,很多受害者都有些防诈骗的社会常识,毕竟,通过大众媒体和日常社交等渠道,人们多少都会接受到一些防诈骗知识熏陶的。问题在哪里呢?在态度和能力方面,犯罪分子利用的是人性的弱点,你心虚你轻信你侥幸你贪婪,是你的人生态度不踏实,你的辨别是非能力不足够。对于受害者来讲,这话貌似有些冰冷无情,但是却是逆耳忠言。

说回到针对企业的信息安全意识,这也不仅仅是信息安全知识了,知识不多,尽管这些知识可能并不那么精确、普及、深入人心,尽管这些知识也在不断增长和变化中。更重要的是态度和能力,意识的英文单词是awareness(觉醒、觉悟、认识、自觉、觉察),它是在knowledge(知识、学问)、understanding(认识、理解)和recognition(认可、承认)之上的。

说到底,需要让员工们具备适当的信息安全意识,能够应对诸如电话诈骗、社交工程学、网络钓鱼、商业间谍等针对人性弱点的泄密窃密行动,不是仅仅靠信息安全知识灌输可以的,要通过启发思考,获得认同。只有这样,正确的信息安全态度才能深入人心,人们才能担负起从自己做起,保护信息安全防泄密的职责;也只有这样,人们才能拥有保护信息安全所需的基本能力,并不断将这种信息安全能力用于具体的工作和生活实践之中。

对改进信息安全态度和能力方面有什么建议么?昆明亭长朗然公司董志军表示:在推进信息安全意识宣传活动时,知识内容要广泛、平和,这样更易被人理解和接受。避免两个极端,一、搞一堆法律条文般的规章制度让员工读,读完了考试和签字;二、使用过于花哨、娱乐化甚至讨好员工的、内容空泛的宣传物,无孔不入的推销。在日常信息安全行为和管理方面,注意引导,让高管和中层发挥信息安全影响力,激励员工层积极向上的信息安全行为,稍稍花些奖品奖金方面的投入,就可以换取大量正向的信息安全态度和能力提升。

除了来自业务竞争的驱动力,合规和政策的驱动力也不小。近几年,国家层面越来越重视针对国民的网络信息安全意识宣教、保密意识教育以及防间谍教育,企业也开始改变以往过度注重安全技术、轻视安全制度和人员管理的状态,开始强化信息安全与保密意识培训计划,这是很大的认识方面的转变。这种转变令人欣慰,相信这都会帮助提升企业员工的保密与安全意识,以及企业的商业竞争力。

安全搞好了,公司伟大了,国民开智了,国家富强了,民族复兴指日可待呀。要搞好安全,强化人员的认知、改进人员的态度、提升人员的能力,请您联系我们洽谈合作,共建信息安全保密意识管理体系。

信息安全,技能还是认知?

network-security-diagram
不少公司在招募新员工时,会有综合全面的考评,其中评估的内容也越来越多,应聘者应对互联网攻击的信息安全能力也成为面试科目之一。这让信息安全继计算机操作、英语水平等硬实力之后成为职场人士的必修课。

传统上,公司在招聘专业的保安人员或外请保安公司派驻人员时,才会附带“退伍军人优先”之类的标准。即使在泛IT领域或信息安全领域,要求应聘者具有CISSP、CISA或CISP等证书也只是近几年的事情。

信息安全如何受到如此重视,这和信息化的快速发展以及互联网安全现状密不可分,国家重点扶持的战略性行业多数和社会政治经济稳定密切相关,并且利润丰厚,当然面临的信息安全威胁和挑战也很严峻。激烈竞争的互联网产业不断挑战和冲击着传统的商业模式,取胜的核心竞争力逐渐转移到创新和效率之上,而这两者无疑加重了对信息系统的严重依赖,信息安全亦成为保障信息系统驱动商业流程的关键要素。

但是有必要要求一个普通的计算机终端操作者具备适当的信息安全能力吗?答案是肯定的,经过几次恶性的蠕虫袭击事件和黑客入侵事件,多数大中型组织机构都已经认识到保障基本的计算机网络安全的必要性,并且掌握了初步的网络安全技能,也积累了一定的计算机安全管理经验。但是信息安全是个动态变化的过程,越来越多的信息安全管理负责人发现,多数信息安全事故的根本原因并非技术问题而是人为原因,甚至信息安全业界的技术大牛们也认为信息安全最薄弱的地方将是总监和秘书们。

信息安全“天演论”者可能认为黑客不断进化,在安全技术与服务上,基本的防范措施如补丁修复、防火墙、防病毒等已经让网络入侵变得困难重重,黑客自然而然会选择利用人性的弱点。这无疑是正确的,但是并不全面,真正的重要问题源自内部,无意的或有意的人为因素才是大量信息安全事件的根本原因。就拿最基本的防病毒来讲,相信不少人听到过一个黑色幽默:“我的电脑系统中有很多病毒,知道怎么能让这些病毒消失吗?卸载防病毒软件即可。”表面上看,貌似很多防病毒软件误报了一些特定的电脑程序,实际上展示的却是程序开发人员信息安全基础知识的缺乏,写出了不安全的软件……

IT人员的安全认知如此,对普通的使用者的信息安全水平,我们能有太高期望么?我们应该如何办?拆东墙补西墙,生活在矛盾之中还是想法彻底从源头来解决?当您碰到信息安全处于一团乱麻或混沌状态下的局势时,您即使有分身术,也难一个点一个点地解决大量问题或隐患。

您需要时间,更需要安全管理和咨询方面的联盟,不少公司开始寻求专业的信息安全管理咨询顾问服务,这是正确的路子。也有不少公司开始强化对员工们进行信息安全意识认知方面的培训,这也是不错的开端。昆明亭长朗然科技有限公司的安全研究员James Dong说:其实,真正能够有卓越贡献的和巨大价值的安全专家是组织内部的信息安全精神与文化领袖,而不仅仅是一位杀毒高手、漏洞挖掘者、安全运营主管、安全审计师或者培训讲师。

要成为信息安全方面的精神文化领袖并不容易,在信息安全知识领域的不断修炼只是一个方面,在业务价值链领域、甚至社会学、心理学、教育学等领域也都需要深深涉足。因为信息安全,关键在认知,而技能,只能构建在正确的认知基础之上。

信息安全意识成了职场人士的竞争力之一,这很是让人兴奋,要让所有员工都拥有这种竞争力,则整个组织(公司)的竞争力也就大幅提升。提升信息安全能力,从信息安全认知抓起。大批量的终端用户并非信息安全专业,对他们来讲,来此实践性的和工作密切相关的案例式教学是成功的关键。

信息安全教育培训是一项复杂的问题,我们不仅需要多种交付渠道,更需要专业化设计的内容资源,以及值得信赖的合作伙伴。昆明亭长朗然科技有限公司有多部提升信息安全认知能力的在线演示课件,以及数百部安全意识动画视频,供您参考和选择,希望能够帮助职场人士提升竞争力,也帮助各类型的组织提升竞争力。

欢迎有需要的安全宣教负责人员和我们联系,也欢迎有兴趣有渠道的合作伙伴加入我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898