通过开展“安全周”活动促进员工安全意识

几十年的和平环境让人们的安全防范意识日渐淡漠,而在个人隐私数据的保护上,大量的数据泄露事故使网民们逐渐开始觉悟。

在企业安全防范上呢?我们相信各类公司的目标通常都是在向客户提供价值的同时获得利润,而现代企业要实现这目标,借助信息化几乎成了必选之路,信息化带来便利和高效的同时,也会带来安全隐患,信息系统和信息数据可能被摧毁或窃取,商业价值和利润更可能被挤压或掠夺。

防范安全事故已经远不仅仅是安全保卫部门或信息技术部门的职责,为了实施破坏或窃取机密,公司的所有员工、供应链、合作伙伴甚至客户都可能成为攻击者利用的对象,坚定的攻击者或称可持续性威胁更是不会放过公司的任何一项安全弱点。

因此,公司需要这些人员积极参与到信息安全事务中来,需要他们了解自己可能成为攻击者的目标或桥梁,进一步了解自己在公司成功中所担负的安全职责,以及掌握防范攻击的基本知识和保护公司信息安全的基础技能。

要做到上述这些,无非需要公司的安全负责团队加强同最终用户的沟通,当然现代组织中的沟通方式有很多,最终用户可能也各有偏好,所以我们建议各公司能交叉并用各类沟通方式或沟通渠道。

我们今天主要讨论通过信息安全周这种方式来加强与最终用户的安全意识沟通,相比周而言,更小的时间范围内进行安全意识推进可能属于“安全日”,而更大一些的则是“安全月”。

“安全日”时间短,可以灌输的安全话题也有限,不过一年可以有多个安全日,为每个安全日找出重点的安全话题,如“隐私保护日”,“信息安全日”,“计算机安全日”,“互联网安全日”,“无线安全日”,“社交网络安全日”等等,公司安全沟通负责人员也可灵活地根据安全状态,比如将比较严峻的急需沟通的安全培训内容纳入到安全日活动中。

“安全月”通常一年进行一次即可,“安全月”最好能避开忙碌的季度末或年度末,因为有较长的时间,所以安全话题可以涵盖几乎公司安全相关的所有内容。“安全月”活动能使最终用户获得较全面的安全防范知识体系,通常也能获得较高的员工的参与率,问题是成本过高,两次“安全月”之间的间隔时间过长。

而“安全周”正好处于“安全日”和“安全月”两者之间,可以取两者之长,而弃两者之短,所以“安全周”成为大型跨国公司推进信息安全沟通的首先渠道。

如何举办一场成功的“信息安全周”活动呢?重要的是在策划,公司内外相关的员工都有了解安全基础、进而保护自身以及公司安全的需求和意愿,这是非常积极的信号,“信息安全周”安全意识推广活动的策划人员要牢记一项宗旨,就是满足这些相关用户对信息安全的求知欲望。我们提出几点建议供分享:

1.安排丰富多彩的安全意识促进节目,挂几个安全展板,摆几个桌子派几名员工向参观者发放安全培训相关资料、签字并领取小礼品是很老的套路了,这些套路都会有一些效果,但是现今的参观者有太多更好玩儿的东西,他们并不会太主动关注这种落后的形式想表达的内容。在节目的策划方面,无疑应当向娱乐行业学习,但是也不要太离谱,比如搞什么容易引起争议的信息安全主题演唱会,不过倒是可以弄些表演类的信息安全小品如安全意识情景剧等等,安全互动游戏如信息安全挑战赛等等。

2.开展评选活动,除了对各节目评选之外,也让各部门派代表,展示本部门的安全精神风貌和安全操作实践,由各部门管理层代表及安全负责人员组成的评选专家进行点评,即能调动员工层的积极性,又能满足各部门的总监经理们的求胜心理,同时相信他们也会从这活动中了解信息安全管理的重要性,并在部门工作中支持和倡导积极的安全文化。

3.在企业安全网站中同步发起虚拟的安全意识促进活动,使用微博、博客等方式转播实体活动盛况,加强与用户的的即时通讯及网上互动沟通,推广安全意识的电子学习内容和资源,同步开展相关安全课题的在线培训及沟通。

4.设置能促进安全意识的相关奖品,当然是公司未标配的需要少许花费的,比如防偷看屏幕的安全视频屏、安全意识桌面小饰物如印有安全标识和联系方式的鼠标垫、安全小台历、电脑锁、加密U盘、USB指纹识别器、家用IP摄像头、智能手机安全软件等等,还有,更不能忘了为优秀的安全部门、团队和个人颁发奖状进行激励。

最后,在同最终用户的互动沟通的“安全周”活动中,举办的安全负责人也可以收获很多,重要的是总结相关经验,通过互动,能够找到公司安全管理中的弱点,及时修复这些安全弱点很必要,此外互动也能帮忙找到“安全周”意识培训活动可以改进的地方,为后续的安全工作以指导,相关的安全活动记录也应该保存,企业安全网站也应进行相关安全培训内容的存档,以便日后向安全监管机构或其它关心公司安全意识培训的其它组织展示和证明。

如何向无意愿的人们推销信息安全

不可否认的是,今天各类型的组织要取得持续的成功,保障组织赖以生存和发展的信息系统和信息数据的安全非常必要。

然而要实现这些安全保障的总体目标并不容易,随着云计算和移动应用的日渐普及,对信息系统的安全控管面临技术和商业双方面的挑战,全球供应链,网上交易,社交网络,移动办公等等让信息数据四处分散,这令传统的中央控管式安全架构力不从心。

当然,创新的安全控管技术也不断问世,让组织的安全管理层可以选择来部署,以便应对不断演化的安全威胁。然而,这些技术控管措施可能并不全面和完整,而且终究需要组织内外的相关人员来认识、理解和接受才能发挥效力,这就需要我们各类组织的信息安全管理层考虑人员的信息安全意识问题。

即使您的目标受众对信息安全一无所知,他们中的大多数可能也不愿意听您苦口婆心的布道,这并不是他们的错,人之初,性本善。

我们需要在沟通的内容、方法和方式上进行改变,没办法,员工的安全意识培训是企业内部沟通的重要组成部分,谁都不想看见“台上念着稿子,台下昏睡一片”的悲惨场景,是吧。

在内容的创作方面,有几点要注意:1.要紧紧围绕组织的安全方针政策,安全内容应该为组织的成功服务,在商业化组织讲保护国家机密简单就是在浪费人们的生命;2.接合组织的商业流程和安全控管标准和体系,比如如果使用了Lotus Notes作为公司的邮作系统,则不要在邮件安全培训的内容中出现Microsoft Outlook的安全使用技巧;3.内容设计让学员在工作内外都有所收益,尽管安全意识教育的目标是保护组织的成功,但组织的成功和员工个人的成功是一致的,信息安全的基础知识,基本理念和方法往往是通用的,了解和掌握这些可以帮助到学员保护好自己、家人、朋友甚至未来的事业。

光有内容并不够,有效的安全意识计划重在沟通,说信息安全意识靠“宣灌”并不太恰当,沟通是双向的,是需要互动的,否则就是说天书、放广播电视,再好的内容在那些对安全没有兴趣的人们眼中,也有强奸民意、恶意洗脑之嫌。

要让目标受众乐于同安全培训专家人员进行沟通,愿意了解您要说什么,得给他们一点甜头儿,没办法,对于多数人来讲,这个世界上比接受安全培训更好玩儿的、更重要的事情多着呢。这不需要太多投入,安全预算中的半个百分点拿来做安全意识培训活动参与奖,就会让员工们趋之若鹜。

如果您看着员工们来了,就大骂他们个个是菜鸟,不懂基本的安全常识,给组织造成了重大的损失,那他们也不会给面子,拿了奖品立马走人,或者还有可能留下来捣乱让培训活动搞不下去。所以,吸引他们来之后,要留住他们,要让他们在安全方面有所收获,您和组织也就有了安全培训方面的成绩。

要让安全意识培训丰富多彩,不枯燥,不乏味,您需要多种多样的沟通方式,标语、手册、彩页、海报、电脑壁纸、屏保、日历、手机座、圆球笔、小茶杯、鼠标垫等小礼品必须要有,但这些传统的招数已经不再新颖,也不足够,我们需要来点互动式的社交活动、Flash、情景剧、闯关争霸赛、挑战类安全小游戏等等。

我们在此分享一部信息安全战争游戏,用于帮助员工认识组织所面临的各类信息安全威胁,它们包括但并不限于:火灾等自然灾害、黑客攻击、网络钓鱼、网络诈骗、信息窃贼、商业间谍、内鬼、叛徒……

当然,您不用担心员工会沉迷于游戏,而不再为组织创造价值,因为信息安全教育游戏不是靠卖游戏装备来赢利。

相信,担当组织信息安全管理重任的您,在信息安全意识教育内容的设计制作和培训沟通的方法方式上做了改变之后,会改变那些信息安全的落后份子,吸引他们的眼球,并让他们理解和接受组织的安全策略和基本的安全理念,进而帮助您和组织取得漂亮的成绩!