公司内部信息安全意识沙龙参加者寥寥无几

公司信息安全的管理负责人员都非常明白一个道理,即使实施再多最先进的安全检测、监控和报警等控制措施,仍然有员工可能会“铤而走险,以身试法”,在详细了解员工的种种安全违规行为的深层次原因之后,往往会发现多数问题的根源并非这些员工为了一些私利而冒险,而是他们根本不知道自己的行为会给公司带来安全隐患,这就让信息安全管理层开始检讨与员工进行安全沟通的不足。

的确,保护公司的信息安全不应该仅仅只是安全部门的工作,信息安全更应是全体员工的职责,每位员工都会接触和处理公司的重要信息资产,公司不可能为每位员工配备一名24小时跟随的专职安全人员,所以,不少公司的安全负责团队开始加强与员工进行信息安全沟通,比如协同员工培训部门、员工关系部门和IT部门等等,共同开设安全培训课程,开展安全教育活动,举办信息安全沙龙等等。

公司各个部门的总监经理们也都希望下属员工多参加这些安全活动,因为他们也担负着保护本部门信息安全的职责,下属员工的一些不安全的行为可能会给整个部门带来严重的不良后果。

照理说,有了各级总监经理主管们的支持,会有不少员工报名参加信息安全相关的培训活动,比如安全意识沙龙,毕竟这是接受在岗培训,结识其它部门员工,甚至离开工作岗位享受一段清闲时光的好机会,然而,活动的举办者却经常发现参加者寥寥无几,更无法达到预期的安全意识教育培训效果。

安全培训沙龙的举办者可能会有些许“政令不出中南海”的感觉,甚至在想要么要求公司业务部门强制员工轮流参加,要么放弃这项让员工自主参加的活动。

其实有这样的结局并不应该感到意外,现在有太多好玩儿的了,员工通常面临着不少的工作压力,无聊的员工并不太多,除非员工有这方面的兴趣爱好或直接工作需求,否则非强制性的公司活动很难吸引多数员工的注意力。

有什么好的解决之道呢?如果下定决心要安全培训活动,就要搞出特色,搞出成绩,首先要确保应该接受安全意识教育的员工参加,对安全感兴趣的或者安全部门的员工都不能计算在内,因为他们的安全意识已经有了相当的水平,是那些不想来的或不愿意参加的反而更应受到安全意识教育,如何搞定他们来参加安全沙龙呢?软硬兼施、恩威并济可以派上用场。首先来硬的,同各部门经理主管们协商,确定各部门需参加安全意识培训的人数,具体的参与者名单由部门负责人决定并交安全培训组织人员;再来软的,凡参加安全培训活动的员工都有一份小礼品,学习积极和表现良好的员工有更多的奖励;施恩,有过安全违规记录的员工在接受安全意识培训后可以抵消一次违规行为的记录;显威,不参加指定的培训或参加培训后考核不合格将视为安全违规一次。

如果在公司内难以强制方式获得员工参加安全意识沙龙活动,比如未能获得各部门负责人对强制派人方式的理解和支持,则可放弃举办信息安全意识沙龙活动,转而考虑改用其它更易被员工们接受的方式,前面所讲,现在有太多好玩儿的东西可以吸引员工们的注意力,安全意识培训方案也应考虑到包装成好玩儿的互动方式,比如搞在线电子竞赛、信息安全游戏、安全知识大挑战、安全意识夺宝活动,安全擂主争霸赛等等。

昆明亭长朗然科技有限公司在针对员工的信息安全意识教育培训方面有丰富的实战经验,并且提供样式繁多的安全意识推广活动资源,同时也提供安全文化建设的咨询顾问服务,欢迎在安全培训方面有任何问题的业界朋友们与亭长朗然的安全培训讲师联系。

如何向无意愿的人们推销信息安全

不可否认的是,今天各类型的组织要取得持续的成功,保障组织赖以生存和发展的信息系统和信息数据的安全非常必要。

然而要实现这些安全保障的总体目标并不容易,随着云计算和移动应用的日渐普及,对信息系统的安全控管面临技术和商业双方面的挑战,全球供应链,网上交易,社交网络,移动办公等等让信息数据四处分散,这令传统的中央控管式安全架构力不从心。

当然,创新的安全控管技术也不断问世,让组织的安全管理层可以选择来部署,以便应对不断演化的安全威胁。然而,这些技术控管措施可能并不全面和完整,而且终究需要组织内外的相关人员来认识、理解和接受才能发挥效力,这就需要我们各类组织的信息安全管理层考虑人员的信息安全意识问题。

即使您的目标受众对信息安全一无所知,他们中的大多数可能也不愿意听您苦口婆心的布道,这并不是他们的错,人之初,性本善。

我们需要在沟通的内容、方法和方式上进行改变,没办法,员工的安全意识培训是企业内部沟通的重要组成部分,谁都不想看见“台上念着稿子,台下昏睡一片”的悲惨场景,是吧。

在内容的创作方面,有几点要注意:1.要紧紧围绕组织的安全方针政策,安全内容应该为组织的成功服务,在商业化组织讲保护国家机密简单就是在浪费人们的生命;2.接合组织的商业流程和安全控管标准和体系,比如如果使用了Lotus Notes作为公司的邮作系统,则不要在邮件安全培训的内容中出现Microsoft Outlook的安全使用技巧;3.内容设计让学员在工作内外都有所收益,尽管安全意识教育的目标是保护组织的成功,但组织的成功和员工个人的成功是一致的,信息安全的基础知识,基本理念和方法往往是通用的,了解和掌握这些可以帮助到学员保护好自己、家人、朋友甚至未来的事业。

光有内容并不够,有效的安全意识计划重在沟通,说信息安全意识靠“宣灌”并不太恰当,沟通是双向的,是需要互动的,否则就是说天书、放广播电视,再好的内容在那些对安全没有兴趣的人们眼中,也有强奸民意、恶意洗脑之嫌。

要让目标受众乐于同安全培训专家人员进行沟通,愿意了解您要说什么,得给他们一点甜头儿,没办法,对于多数人来讲,这个世界上比接受安全培训更好玩儿的、更重要的事情多着呢。这不需要太多投入,安全预算中的半个百分点拿来做安全意识培训活动参与奖,就会让员工们趋之若鹜。

如果您看着员工们来了,就大骂他们个个是菜鸟,不懂基本的安全常识,给组织造成了重大的损失,那他们也不会给面子,拿了奖品立马走人,或者还有可能留下来捣乱让培训活动搞不下去。所以,吸引他们来之后,要留住他们,要让他们在安全方面有所收获,您和组织也就有了安全培训方面的成绩。

要让安全意识培训丰富多彩,不枯燥,不乏味,您需要多种多样的沟通方式,标语、手册、彩页、海报、电脑壁纸、屏保、日历、手机座、圆球笔、小茶杯、鼠标垫等小礼品必须要有,但这些传统的招数已经不再新颖,也不足够,我们需要来点互动式的社交活动、ACG、情景剧、闯关争霸赛、挑战类安全小游戏等等。

我们曾经创作了一部信息安全战争游戏,用于帮助员工认识组织所面临的各类信息安全威胁,它们包括但并不限于:火灾等自然灾害、黑客攻击、网络钓鱼、网络诈骗、信息窃贼、商业间谍、内鬼、叛徒……

当然,您不用担心员工会沉迷于游戏,而不再为组织创造价值,因为信息安全教育游戏不是靠卖游戏装备来赢利。

相信,担当组织信息安全管理重任的您,在信息安全意识教育内容的设计制作和培训沟通的方法方式上做了改变之后,会改变那些信息安全的落后分子,吸引他们的眼球,并让他们理解和接受组织的安全策略和基本的安全理念,进而帮助您和组织取得漂亮的成绩!