安全意识培训搞一次远不够

security-awareness-education

专门针对全体员工进行的正式安全意识培训并不多见,但是多数组织机构都会对新员工进行或多或少的入职安全意识培训,这份工作或由IT部门,或由安全部门,或由培训部门进行,信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说:别指望通过对新员工进行的几个小时的安全意识培训,就能让员工们能记住那些安全策略和规定,并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因,而这里面,大部分都是一些无知或大意的行为,通过特定的安全技术措施,可以起到一部分的帮助作用,然而,更需要强化对员工们进行安全教育,以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然,安全意识是一种认知一种理念,某些记忆会随着时间的推移而弱化,同时,新的安全威胁却不断出现,所以针对职场新兵们的一次简单安全意识培训并不足够,系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人,或者信息安全是您的工作的一部分,您都应该关心安全培训,多数的IT人并不是很清楚信息安全的核心理念,更何况普通的用户呢?简单的问问您自己:您最近与组织或部门成员沟通信息安全问题是什么时候的事情?您觉得受众对这些安全理念的理解和接受程度如何?

如果您不能立即给出上述问题明确的答案,您需要考虑一下了。亭长朗然公司Alice说:信息安全管理人员往往会有一个认识误区,便是将几十页的员工安全手册发放给员工们进行阅读,以期望他们能够消化。显然,员工安全手册使用的是IT安全相关的专业语言,是给法务、监察或审计人员来看的,根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后,不能简单地说:你没有遵循安全相关的规定,都是你的错,你签了字,你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册,或者没能读明白,或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议,不管三七二十一,就点击“同意”一样。

不过,在法律合约层面,又需要员工签署对相关安全政策和标准的遵守承诺,所以说员工安全手册,尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时,会特别划出重要的可能引起争议的部分,这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面,还是需要更为生动的在线视频或互动式培训课程来进行,因为这些教育方式和渠道更受员工们的欢迎,也更有效。

安全意识培训,勿忘示范和激励的作用,安全是一种保障,也是一种与效率的平衡,安全方面的限制过多不行,在限制多少这个度上面扯皮更是不值得,我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律,自己却搞特权,显然说一套做一套只会引起员工们的不屑,甚至引发“只许州官放火,不许百姓点灯”的不满和抗议。

管理层从自身做起,时刻注意自己和团队的安全理念和行为,能起到积极正面的示范作用,但是这还不够,组织范围内的信息安全是一个大环境,每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量,从激励入手是最重要的。通过安全意识培训,传递明确的安全期望,特别是在对待组织内部的一些安全隐患或弱点方面,对于有安全敏感度,并且能够及时报告隐患或事故的员工们,给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果,如果一味强调对违规事实的处罚,而不考虑客观情况和主观愿望,可能会引起掩盖安全事故的行为,这显然会带来更大的损失。要教育员工安全问题可能会客观存在,特别是意外的或不小心造成的,无论如何在有怀疑或发现之时都要及时报告,以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的,则应强调和实施严厉的处罚。

综合来讲,安全意识培训是整体安全管理的一部分,安全意识培训需要持续不断地进行,更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理,降低安全事故发生的概率。

成功的信息安全意识教育计划是给用户亲身体验机会

security-chain-broken

大人警示小孩要注意什么,小孩儿都会理解并照做吗?答案并非如此,实际上,在公司信息安全管理领域,也是这样。

公司信息安全管理团队通常会强化对员工们进行必要的信息安全意识教育,但是很多安全管理者发现效果可能并不如意。即便是那些在信息安全意识推广活动中投入了漂亮的安全信息提示贴、精美的员工安全手册或有趣的FLASH故事动画,问题何在呢?昆明亭长朗然科技有限公司安全意识顾问董志军最近和一位信息安全总临聊起这个话题,如下是他的一些简单自述。

这家公司每年都有数万的信息安全意识培训预算,安全意识活动也搞得有声有色,但是员工们的安全行为却仍然不见大的改观。在接到咨询电话后,我和这位信息安全总监约好一早九点见面。

我向其询问了一些简单的信息安全管理方面的实践,了解到虽然公司的新入职员工需要参加全面的信息安全意识教育课程学习,全体员工也会被要求每年度定期刷新信息安全知识,但是对未遵守信息安全相关要求的行为,却没有任何的惩罚。我又问起了学员的信息安全课程参训率和在线考试的通过情况,几乎是100%的好。

我同他开玩笑说:“您觉得这是信息安全政策沟通不到位,还是执行力不到位呢?”对方苦笑回答:“开放包容充满人性化是我们公司的文化,我们很少会对员工进行惩罚,即使有安全事故,也会更多的反思公司方面的问题。”

这真是家伟大的科技公司,和日本台湾的苛刻管理模式大不相同,公司的业绩却是响当当,员工工作起来却很随意,上午10点半了,还可以看到衣衫不整的员工姗姗来迟。科技界竞争激烈,我有些怀疑这么懒散的员工们是否拥有必须具备的信息安全保密基础理念,以防范商业间谍和竞争者们来窃密。

我把我的怀疑讲了出来,信息安全总监微笑着说:你那边不是提供信息安全意识方面的渗透测试服务嘛!你来扮演个社工黑客,玩一玩诈骗电话和钓鱼邮件吧!我说:这正是我来拜访的目的啊!

于是我们就开始了一项信息安全意识模拟入侵项目,在简单而正式地签定保密协议以及授权书之后,我获得了包括姓名、工号、部门、电话号码和邮箱的员工通讯录、标准软件清单、信息系统名称以及登录界面截图。在简单熟悉了公司的IT环境之后,我便开始了入侵准备工作,我的设备包括一个内部分机号码,一部手机卡,一台位于互联网上的电脑和一台连接到公司内部的个人电脑,我的目标随机抽取五名员工,通过黑客手段,来获得他们的系统帐户和密码。

要说我已经连接到了公司内部网络,要发起一些基于网络层面的入侵嗅探简直太轻易。但是这种方法被信息安全总监禁止了,我也不想让人们以为我只是个技术极客,我需要向人们展示更大的可能性。五名员工已经随机选好,我打算假冒成IT/FI/HR等服务部门通过内线来套取他们的帐户和密码;假冒成客户、社保局、公安局和电信运营商工作人员通过外部手机来套取公司信息,我还伪造了一封钓鱼邮件,并且仿制了两个钓鱼网站。

现在让我说一说我的成绩吧!通过内线,我成功地拿下了两名员工;而通过外线,我只获得了一点皮毛信息;不过配合使用钓鱼邮件以及网站,我获得了所有人的帐户和密码!

当我把成绩展示给信息安全总监的时候,他瞪大了眼睛,忽然赞叹地说:我们太需要你的帮忙了!我们需要更多的员工来亲身体验!接着他把那五名员工叫了过去,向他们说明了这次钓鱼活动,展示了获取的帐户和密码,提醒他们注意信息安全,并要求他们回去立即改掉密码。

我插了一句说:应该鼓励这些同事将亲身的安全经历分享出来。信息安全总监说:这主意太好!亲身体验并且分享经验是最好的教材!

大人告诉小孩该怎么做,小孩儿没有照做,却在亲身经历了错误之后,改过了。通过信息安全意识模拟攻击测试,我们可以让这种错误的代价降至最低。欢迎访问我们的安全意识渗透测试服务介绍页面了解更多内容。