安全意识教育内容资源要“普遍”还是要“新奇”

在和一家企业信息安全培训人员谈及安全意识教育的需求、目标和战略时,对方显得无所失措,顿顿地说那些都是虚的,实实在在的就是通过招标来购买一些培训资源和服务。无疑,在这位培训人员眼中,信息安全意识培训的“需求”就是些安全培训课程、动画、测试系统之类的产品和服务。我提醒对方说这种“需求”的出发点是“买买买”,不是想要解决问题的思路,信息安全意识培训是为了提升员工的安全防范意识、来提升信息安全管理水准、来应对利用人性的种种安全威胁、来降低企业的信息安全与商业风险……

显然,这又是一家被厂商洗脑、被同行引领的“追随型”的企业,这些企业的安全意识培训“需求”就是“随大众”,“目标”就是“借助厂家提供的产品和服务,在公司中秀一秀工作”,“战略”就是“买买买”。虽然对于甲方安全培训负责人员来讲,这并没有什么大错,毕竟自己的资源有限,经验不足,而提供服务的厂商无疑更加专业。而多数厂商真正关心的是“卖卖卖”,往往并不关心这些产品在客户那里是否适用,更不会关心客户使用的如何。只要买卖达成了,产品“秀”出去了,管它绩效如何,员工有没有因此而在信息安全意识方面变得聪明,在信息安全行动方面有没有变得谨慎,谁管呢。

说到信息安全意识教育工作的“绩效”,当然“信息安全知识考评”是一个培训工作绩效的衡量手段,同时,安全意识考试也是逼迫学员积极参加学习的一种促进手段。为什么要“逼迫”学习呢?从人性上讲,世上只有极少数人会认为自己的安全意识不足,而这其中愿意花时间在安全意识的补充上的人就更少了。昆明亭长朗然科技有限公司的信息安全意识课程开发顾问董志军说:搞安全培训的都知道这个道理,所以都绞尽脑汁想吸引学员的眼球,最常见的方法就是搞一些“新奇”的作品和活动,或搞一些奖励措施。

如何能既“普遍”又“新奇”的传递安全价值观呢?毕竟针对企业员工的“信息安全意识”不是“社会主义核心价值观”,远没那么大的体量和力度。尽管在形式上,我们可以扮酷,但是在内容上,安全意识的创新性空间很有限。毕竟绝大部分安全知识内容都是具有严肃性和普遍性的,有些安全实践甚至有些枯燥乏味,比如安装启用防病毒程序这一老生常谈的安全观念。

在信息安全意识内容传递方面,想要同时做到既“普遍”又“新奇”是很难的,大部分安全意识宣传作品和活动都能做到“普遍”而不“新奇”,一次之后,再第二次第三次,这些内容就会被受众认为是“陈词滥调”,这无疑困扰着信息安全意识培训负责人。而少部分“新奇”的,又缺乏“普遍”性,也就是“有趣无料”,或者至少“料不足”。昆明亭长朗然科技有限公司董志军说:想要取得突破的安全培训负责人员很多,但是内容就那么多,创意灵感也得围绕内容来,不能天马行空偏离内容主题。尽管如此,其实也不用担心,无论如何,针对员工的安全意识培训不是为了通过大片或游戏来娱乐员工,而是来纠正员工错误的信息安全观念,来引导员工正确的信息安全行为,那些“娱乐员工”的职能,还是交给其它专职部门如工会或文体部门吧。

当明确了安全意识教育的需求和目的之后,就可以制定必要的战略和计划,在课程内容和资源方面,战略选择无非是自己动手或外包采购,对于那些业务离不开文化创意设计、宣传活动策划等类型的公司(当然这是少数),有了输入的内容原本,输出的作品和活动的形式还是自己动手更适合。对于大部分其它类的公司,比如专注于非内容和文化产品的制造业和快销业,往往往往信息安全意识相关的内容原本甚为完善,比如安全方针政策、标准制度、管理流程等等,要让它们变成输出物进而用于安全意识宣传活动中,无疑要在自己动手或外包采购两者之间进行对比评估,看自己搞划算,还是外购划算。有了战略选择,宣传计划就比较容易制定,根据业务的淡旺季和安全环境态势,以及业务单元及人员的分布,适当分期分批进行即可。

据称,80%的“普遍”元素加上20%的“新奇”元素,可构成较为完美的理想化的信息安全意识教育内容资源,包括各种宣传作品和活动方案。其实,没有那么多“新奇”元素也没什么大不了,只是每次安全意识宣传活动,不能总“炒剩饭”。即使是“普遍”性的内容,也可以稍稍换一些展示手法,就如同我们有时会重复讲自己此前说的话,但也会换一种说法,不断地来点新意,慢慢改进一样。

昆明亭长朗然科技有限公司在网络安全、信息保密、合规守法等方面出品了大量的教育培训内容素材,在战略层面,客户可以灵活选择,以更适合自身。在“普遍”和“新奇”方面,也有多种微妙的变化选择,以少许的新意“调料”,让普遍性的教育内容变得“新鲜美味”,让学员即使是温习旧知的同时,也不至于厌倦。我们有数百集动画视频、测试题及宣传画,百余部教程模块,可以随意组合搭配和选用,同时我们也有充满新意的信息安全意识宣传活动策划方案配详细脚本,稍稍修改甚至直接使用都会“创造不同”。欢迎有兴趣的客户与伙伴联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

信息安全意识培训计划的五大主题

处在庞大的互联网络系统中,如果不实施有效而可靠的信息安全意识培训计划,任何组织都将无法保护信息的机密性、完整性和可用性。

超过半数的网络安全事件是由于人为错误而造成的,每年由于员工人为因素而带来的灾难导致企业遭受的损失达数亿元。对此,昆明亭长朗然科技有限公司网络安全培训专员董志军说:这不是危言耸听,看看那些诈骗窝点那些年轻人们的豪华生活,就知道情况是多么的严重。需知,科技再进步也只能是工具,人类永远是社会的主体,人工智能再厉害也不能完全理解和替代人们对世界的认知和人与人之间的微妙感情。正是因为这个原因,再先进的安全防范技术也不能彻底防御针对人性的攻击。举例来讲,不知情或粗心大意的工作人员可能会回应网络钓鱼电子邮件的要求,访问感染了恶意软件程序的网页或将其机密信息存储在不安全的存储位置,从而损害网络安全。

为了避免与人员相关的事件的发生,组织必须实施切实可行的信息安全意识培训计划。通常来讲,标准的安全意识计划应包含以下几条主题内容。

一、安全的互联网习惯

几乎所有职员,特别是技术性职工,都可以访问互联网。因此,对公司而言,安全使用互联网至关重要。信息安全意识培训计划应包含安全的互联网浏览习惯,以防止攻击者侵入公司内部网络。以下我们分享一些为员工安全使用互联网的注意事项:

用户们必须了解常见的网络钓鱼攻击,并学会不要打开恶意附件或单击可疑链接。这些能力需要通过深入地了解网络钓鱼攻击的警告信号来实现。最好禁止使用浏览器的弹出窗口,因为它们通常会带来安全风险。用户们应避免安装未知来源的软件程序,特别是感染了恶意软件的网站链接。如今,很多网站声称提供免费的互联网安全程序,实际上这些程序只会感染您的系统而不是对其进行安全保护。

二、数据安全保护

信息数据的类型有很多,例如客户合同、成功案例、产品特性、营销方案、开发计划或工作任务说明等等,许多员工可能不知道这一点。这些员工没有意识到对信息数据进行安全分类的重要性。例如,从财务角度来看,客户合同比成功案例更为重要。从营销角度看,营销方案要比产品特性更为重要。

员工们应了解所有类型的数据,以便他们了解其业务重要性。哪些数据属于高机密级别的,哪些属于内部的,哪些属于可公开的,如何保护这些不同安全级别的信息数据?哪些数据可以或不可以通过哪些渠道进行分享?了解这些数据安全保护的要求,是保障信息安全,防止数据泄露的基础性工作。

三、清洁办公桌政策

信息窃贼可以很容易地获得办公桌上的敏感信息,例如便签、纸张和打印出的文件,当然也还可以通过贼眼轻松偷看到敏感信息。根据清洁办公桌政策的要求,在结束每天的工作之时,应将所有敏感和机密信息从办公桌上移开。在午餐时间或在办公时间紧急离开时,所有关键信息都应锁在办公桌抽屉中或柜子里。

员工们需要理解清洁办公桌政策的要求,并养成良好的桌面清理习惯。除了纸类文件之外,当然也包括重要的信息物件,比如U盘、钱包、手机等。此外,计算机桌面的安全也属于清洁办公桌的一部分,设置带密码保护的屏幕保护程序,在离开办公桌时锁住屏幕。对于清洁办公桌政策,董志军补充说:要保证政策的落地,强化执行力,需定期不定期地进行办公桌安全检查,比如在工作期间、午餐时间或下班时间对员工们的办公桌进行巡检,以发现可能的问题并对进行必要的整改督促和再教育。

四、恶意软件防范

有关恶意软件的培训课程是非常经典的,但是总有新型的恶意软件不断出现和泛滥,这说明仍然有很多人不了解恶意软件的类型及其含义。恶意软件类型应包括广告软件、间谍软件、病毒、特洛伊木马、后门程序、勒索软件、僵尸网络、逻辑炸弹和蠕虫等等。

员工们应学习如何识别恶意软件、如何防范恶意软件并养成好习惯,以及如果设备或网络已被感染了该怎么应对。正确的响应应该是立即关闭系统或设备并通知信息安全响应团队。

五、安全使用社交网络

企业使用社交网络作为强大的工具来宣传品牌并产生在线销售。不幸的是,社交网络也为网络钓鱼攻击打开了闸门,网络钓鱼攻击可能导致公司遭受巨大灾难。不当的社交软件使用造成机密泄露的事件比比皆是。

为了防止关键数据通过社交媒体丢失,企业必须具有可行的社交网络安全使用政策,应限制社交网络的使用并指导员工注意网络钓鱼攻击的威胁和信息泄露的风险。通常来讲,对大多数员工来说,除了转发公司的公开宣传内容之外,不宜使用如微信、微博等社交媒体交流工作相关话题。

总之,员工在保障业务成功中扮演着至关重要的信息安全作用。未经培训和疏忽的员工可能使企业面临多重数据泄露的危险。因此,组织必须采用可行的信息安全意识培训计划,其中应包含阻止网络安全事件发生所需的基本准则。上述的几项常规安全意识培训主题都是昆明亭长朗然科技有限公司的大量客户在信息安全管理实践中探索出来的,希望这些宝贵经验能够帮上您和您所在的工作单位。

昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898