如何改变员工的信息安全行为

越来越多的法律和行业监管制度要求组织加强员工进行安全意识培训,特别强调全员对信息安全的法规遵循。

各类型的组织于是开始从上至下传达新的安全要求,着手部署更严格的安全技术控制措施和建立苛刻的惩罚制度体系来确保这些新规能得到贯彻执行,不被违反。

“哪里有压迫,哪里就有反抗。”

极端的做法造成员工对组织的失望和不满,特别是那些因为因为对规则的无知或大意而违规却受到严厉惩罚的员工,会认为组织安全实施人员的做法太过死板、不够理智且不讲人情,进而害怕、躲避甚至抵制与信息安全相关的具体工作。

实际上,并没有多少员工主观意愿上希望违反组织制定的相关信息安全规则,也不愿意组织的利益由于安全事故而受到损失,更不愿意由于自己的原因而受到处罚。相反,员工们更愿意获得信息安全方面的嘉奖,更愿意遵守最佳的安全行为规范和指南,更愿意组织获得更大的成功。

究其原因,多数组织文化都鼓励开放诚信和积极进取的价值观,员工们讨厌强加于他们头上的各类限制性规章制度,这其中的差距和矛盾主要是由于对信息安全基本规则的沟通不足。

良好的沟通是促进法规遵循的关键,制定法规和相关的细则并不难,困难的是让员工理解这些规则的精神,而要克服困难,重点在于向员工展示法规的遵循能为其带来的价值和好处。

如果使用不同层面的员工能听得懂的语言进行沟通,让员工们明白信息安全最佳操作实践对他们自己及家人的工作和生活带来的好处,他们会兴致勃勃地认真学习、接受这些安全理念甚至积极地对信息安全工作进行反馈和支持。

一旦员工们明白了这些基础的信息安全理念和最佳的操作实践,组织甚至不需要花太多的技术控制措施就能获得员工在安全行为方面的积极变化。同时,记住安全沟通和行为改变绝非一朝一夕可以彻底达成,这是一个持续不断进行的过程。

组织的成功中有很多事情要安全专家来做,但是组织的安全却信赖所有员工,仅仅告诉员工:“组织给了你们安全需要遵守的规则,如果你们违反了,那就是你们的问题,你们要为自己的行为负责。”并不恰当。

员工有不当的安全行为,原因在于人们天生下来并没有适合组织需要的信息安全价值观,这些需要有效的沟通和灌输,一旦人们有了合适的观念认知,他们的行为会随之改变。

security-the-behavior

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

云计算和移动终端的结合,挑战传统信息安全管理者的神经

云计算时代来临,移动计算终端也越来越普及,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战。

云计算本身的安全更多要依靠大型的云计算提供商以及技术合作商,即使大型组织拥有私有云,但核心的安全技术还是依赖于平台提供商,所以拥有绝对数量的终端安全成为不少厂家特别是互联网服务商争夺的战场。

然而,互联网服务商提供的终端安全方案并不完全适用于大中型组织,抛开此前爆出的安全丑闻,让信息安全管理者忧心重重不讲,这些厂家提供的终端安全往往是其互联网业务的附属品,它们的目的是为了抢夺市场,增加客户粘性,最多保护互联网用户的个人安全,而并非保护商业组织的安全。

最终用户也不再相信会有更多的防火墙、入侵检测及防御或者安全加密来保护他们的关键系统和数据,他们甚至会认为,这些技术控制纯粹是在浪费金钱,网络接入点无处不在,只要有进入系统的权限,人们可以在任何时间,任何地方自由地获取、处理和分享各类机密的商业数据。

所以,信息安全的成功,对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。

传统的方法之一会使用高压手段,通过建立苛刻的信息安全惩罚制度,赋予经理们下属违规的连带责任,派以频繁的、必出战果的安全检查行动,甚至利用让违规者抓违规者的令牌传递方法。在安全意识教育方面,使用血淋淋的安全事件教训,配之违规一次,奖金泡汤,诛连经理的场景来教育员工,使员工生活在信息安全的白色恐怖之中。

然而这种通过白色恐怖来恫吓员工,企图让员工遵守信息安全规定的做法并不是很好的信息安全管理方法,人们的工作激情受到了打击,协同合作的氛围越来越淡,员工及部门之间的信任关系也受到了重创,企业文化负责人提辞呈了……

另一传统方法是使用铺天盖地的信息安全推广广告,将安全标语、安全漫画等贴进每一个角落,希望借此能不断地熏陶,能唤醒员工们的信息安全防范意识

可是忙碌的员工哪有时间关心这些东西?在他们眼中,这些和日常工作有什么关系呢?最终他们在安全的行为方面没有明显的变化。

问题在哪里,您需要如何做?您需要像营销天才一样,向员工推销您的安全政策,您不仅需要信息安全方面的专家、沟通管理的专家,您还需要顶级的内容策划设计师、心理和行为学大师以及营销管理大师,最后,您还需要将这一拨人有效地整合起来,形成一个紧密工作的团队。

cloud-security-password