如何改变员工的信息安全行为

越来越多的法律和行业监管制度要求组织加强员工进行安全意识培训,特别强调全员对信息安全的法规遵循。

各类型的组织于是开始从上至下传达新的安全要求,着手部署更严格的安全技术控制措施和建立苛刻的惩罚制度体系来确保这些新规能得到贯彻执行,不被违反。

“哪里有压迫,哪里就有反抗。”

极端的做法造成员工对组织的失望和不满,特别是那些因为因为对规则的无知或大意而违规却受到严厉惩罚的员工,会认为组织安全实施人员的做法太过死板、不够理智且不讲人情,进而害怕、躲避甚至抵制与信息安全相关的具体工作。

实际上,并没有多少员工主观意愿上希望违反组织制定的相关信息安全规则,也不愿意组织的利益由于安全事故而受到损失,更不愿意由于自己的原因而受到处罚。相反,员工们更愿意获得信息安全方面的嘉奖,更愿意遵守最佳的安全行为规范和指南,更愿意组织获得更大的成功。

究其原因,多数组织文化都鼓励开放诚信和积极进取的价值观,员工们讨厌强加于他们头上的各类限制性规章制度,这其中的差距和矛盾主要是由于对信息安全基本规则的沟通不足。

良好的沟通是促进法规遵循的关键,制定法规和相关的细则并不难,困难的是让员工理解这些规则的精神,而要克服困难,重点在于向员工展示法规的遵循能为其带来的价值和好处。

如果使用不同层面的员工能听得懂的语言进行沟通,让员工们明白信息安全最佳操作实践对他们自己及家人的工作和生活带来的好处,他们会兴致勃勃地认真学习、接受这些安全理念甚至积极地对信息安全工作进行反馈和支持。

一旦员工们明白了这些基础的信息安全理念和最佳的操作实践,组织甚至不需要花太多的技术控制措施就能获得员工在安全行为方面的积极变化。同时,记住安全沟通和行为改变绝非一朝一夕可以彻底达成,这是一个持续不断进行的过程。

组织的成功中有很多事情要安全专家来做,但是组织的安全却信赖所有员工,仅仅告诉员工:“组织给了你们安全需要遵守的规则,如果你们违反了,那就是你们的问题,你们要为自己的行为负责。”并不恰当。

员工有不当的安全行为,原因在于人们天生下来并没有适合组织需要的信息安全价值观,这些需要有效的沟通和灌输,一旦人们有了合适的观念认知,他们的行为会随之改变。

security-the-behavior

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

明星违法、合规遵循与信息安全制度

首先要感谢各路媒体,要不然,一些不入流的“明星”仍不被多数国民所认识,所以,不管功过是非与得失,这辈子他们成为真正的“名人”也值了。

其次,我们来谈谈法规遵循,醉驾入狱的某星捍卫了法律的尊严,也获得了国民的赞扬和尊重,让人们看到了中国实现法治的梦想;与之形成鲜明对比的是某星儿子的强奸案,精神受到反复折腾的不仅是当事人,更包括社会大众。愿意在这事件上继续花费时间和生命的国民,可能并不了解事实真相和背后的故事,也可能是想继续看热闹,也可能满腔义愤地想骂两句。

不过,从民意反馈来看,大多数人们关注的并非事实真相,而是关注、担心、厌恶甚至痛恨权贵阶层肆意践踏国家法律。实际上,如果说某星因祸得福,源自知识份子的正义和良知,是中国法治精神的正能量的话;某星家则是被媒体抓住不放的一个倒霉典型,我们不可否认的是类似的案例简直多如牛毛,这种事儿太多了,大部分都只为一个小圈子时的人所知晓,所以,我们不要鄙视某星家,而要可怜他们有点“冤”。

几千年来,人们与生俱来便要遵守各类法规制度,却没有多少人问一问:为什么要搞这么多法律规范啊?中学政治课本里告诉的可能是屁话,无以规矩,不成方圆,为了加强占领、统治和管理阶层的利益才是真的。当然,公司里的规章制度则主要是来保障公司投资者、客户和管理层的利益。

如果您只是一介平民或普通职员,不要一没提到保障您的利益就那么的抗拒,因为您的利益很大程度上也信赖这些规章制度,从某种角度讲,整个群体成员之间的利益是一致的。而且,不想遵守某个国家的法律,您可以选择离开,不认可某家公司的规章,您也可以选择不加入啊。简言之,小市民遵守大制度,这是必须的。

尽管权贵阶层持强凌弱或者草菅人命的事里有发生,但是并不意味着高层不用遵守法规,即使在奴隶制和殖民地时代,奴隶主和殖民者也不能为所欲为,更不用说封建时代有“王子犯法,庶民同罪”一说。权力阶层会有平民所不具备的特权,但是要依法使用,超越特权或滥用职权即使能够逃脱法律的制裁,也难免会让法律的威严扫地,最终仍旧危害到自己。

接着,让我们从社会的广角聚集到信息安全领域,大多数安全违规事件的起因其实也是人们不理解为什么要这些安全规定,要么不知道这些安全规定,要么不明白它们的内涵。如果公司里的高阶管理层违反信息安全制度的比例会高于普通员工层,就表明信息安全制度根本就是一张纸而已。昆明亭长朗然科技有限公司的安全事故应急响应咨询顾问James Dong说:信息安全治理的重大问题之一是信息安全意识的匮乏,要么人们根本没有认识到信息安全的重要性,要么忽视或者躲避安全流程和技术控制措施。

某星由知法犯法到守法普法让我们认识到信息安全制度不可能没人违反,如果公司没有安全违规事件或者极少量,那表明信息安全管理处于混沌状态,需要输入文明和领先的信息安全观念。

某星由知法犯法到守法普法还让我们认识到信息安全规章制度得到宣传和普教的重要性,如果公司有大量过量的信息安全违规事件,这表明人们不了解信息安全要义或者根本不尊重信息安全管理工作,我们需要的仍然是强化信息安全意识沟通宣传。

某星由知法犯法到守法普法又让我们认识到信息安全制度和文化建设的重要性,已经酿造信息安全方面事件的人员如果勇于承认错误,敢于及时上报安全事故以便挽回更大损失和用实际行动进行改过实际上是一种信息安全合规的表现,此外,违规者分享亲身体验和防范之道,还可能成为信息安全制度建设方面的积极推动力量。

如同某星家的多数家庭或可能后悔没有早些向孩子普及基本的法律常识,事后他们可是恶补了一场,同样,各类安全违规事故让那些违纪人员开始了解信息安全政策和规定,亡羊补牢,您伤得起么?即使您是初犯,伤得起,不过罪恶的犯罪基因已经种下,二次再次违规,您准备好了么?

有效避免信息安全事件和正确响应信息安全事件,从信息安全规章制度的普教开始,从信息安全意识宣传推广开始。