再谈安全意识教育

公司是否应该花钱对员工们进行安全意识培训呢?在信息安全业界,尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性,但是仍然不时有极个别的反对声音,认为对最终用户进行安全培训是在浪费时间,而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先,我们谈一件安全投资是否有必要,得有一个预期的收益,也需拿出可以进行衡量的可行性标准,并据此测量安全投入是否达到了最初的设想目标,即所谓的安全投资回报ROI。不过,在广泛的计算机网络信息安全领域,尚无可以借鉴的广为接受的投资回报算法,因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域,有些计算公式,类似风险=漏洞*威胁*影响*概率之类的公式,不过这些也只是停在安全理论层面,根本不能被最佳信息安全实践操作所理会和采纳,所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此,否定对员工们进行安全意识培训的必要性,明显是站不住脚的,就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次,对安全意识培训持反对意见者可能会质疑安全意识培训的成效,的确安全意识培训不像安装配置企业防火墙一样,设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员,而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者,简直就如同在地上画个圈,让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任,信息安全意识培训本身只是一种安全理念和技能的沟通方式,即使主动发布信息的一方,通常是安全意识培训讲师发出了正确的安全讯息,安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败,而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙,规则配置上却缺乏适当的安全策略标准指引,或者防火墙管理员偷懒,随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效,比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况,通常经过培训之后员工们对信息安全的认知都会有所提升。

再者,安全意识培训的反对者会认为安全意识很难影响安全行为,的确,人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说:几乎所有的城镇人口都会从小就被教育遵守交通规则,但是仍然随处可见闯红灯和穿越马路的情景,我们能否认说交通安全意识教育不能改变交通安全行为么?当然不能,违反交通安全规则的自有他们的“道理”,比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是,这些人在违反交通安全规则的时候,多数知道自己的行为是在违反,假想我们不教育人们遵守安全交规,那世界会混乱成什么样子?要让安全意识和安全行为有效关联起来,需要的是激励措施,奖励积极向上的安全行为,处罚恶劣的不安全行为,自然而然便能建立起“知行合一”的安全合规文化,但看新交规实施以来的威慑作用便知一二。

最后,安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果,说这些的往往是些急于推销安全技术产品的厂商,我们不排除很多安全问题可以通过形形色色的技术控管方式来解决,比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用,它们要发挥效用的最大假设前提是人们的理解和支持,不通过安全意识培训,如何获得理解和支持呢?此外,老人们常说“淹死的人通常都是会游泳的”,不屑于安全意识提升的技术专家们,冒险精神可嘉,但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

secure-your-employee

安全意识教育还是安全系统设计?

如同社会上少数人不再相信教育能够改变未来一样,几乎每年都有少量安全业者质疑安全意识培训的价值,但是人们仍然希望孩子们能读好的大学受到好的教育,安全管理负责人仍然在对员工们实施着基础的安全认知培训。

我们的确需要反思,我们为什么对员工要搞安全意识教育呢?在员工们在安全认知上太“菜”,还是我们的系统在进行安全设计的时候没有考虑到员工们的“菜”呢?我们相信两方面的原因都有,但是无论员工们的安全认知,还是系统的安全设计,都是在不断改进之中。

员工们除了每年接受一定时间的安全意识培训之外,实际上也会受到人类进化和社会环境的影响,比如看看电视了解了新型的电话诈骗,丢失了手机后更深入地认识到移动信息的安全等等,这是很自然不过的了。

说到安全意识教育,人们可能会说,“相关的知识理念人们都了解,甚至也认同,但是就是不遵守,别说黄赌毒,就问问抽烟、酗酒和熬夜的那些人们吧,他们可能比没有那些行为的人更理解其危害,然而有什么用呢?”这难道是教育的失败吗?昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:这种情形的确是教育的失败,但并不全是,准确点说更多是受众的选择问题。因为在有些情况下,人们并不选择正确的答案,这里面可能有外因和内因,外因往往是外界的刺激、环境的影响等等,内因则是对诱惑的抵制力、对行为的约束力等等。比如多年不见的老朋友相聚,往往都知道不应该喝得乱醉,但仍然会受酒桌文化的影响,又不得不在心里告诉自己去放纵一次。

上述的例子可能并不全适用于安全教育,多项安全事故调查表明:职场新人往往更容易成为安全事故的受害者,显然在多数职业人士的心目中,安全生产事故的后果不同于偶尔一次放纵对身体健康的影响。

设计可以不断地改进以增长安全性,但是相靠安全的设计来避免“菜鸟”们出现危险的行为路途漫长,甚至很不现实。比如菜刀可以用来切菜,当然也能误切手指,我们不否定可以在菜刀的设计上考虑误切手指的防范功能,但是又有多少人使用这样的“安全”菜刀呢?

有不少公司出台了安全相关的规章制度,但是却没有与员工进行沟通,员工们对安全的认知远达不到规章制度所期望的水平,这种情形便是安全知识教育的不足。

安全意识教育,不仅仅是给人们安全知识,更需要教会人们进行正确的安全选择。如果某人有正确的安全知识,但是却要故意捣烂,比如自残或实施破坏,那的确是教育的失败,但和教授正确的知识没有关系,只和选择有关。

向员工们提供正确的安全意识知识教育是永远不可少的,但是在选择方面,需要给予必要的外部刺激。虽然关于安全行为的选择权握在最终用户的手中,但是适当的外部刺激能够促进员工们在面临安全问题时进行正确的选择。

有不少公司出台并颁发了安全相关的规章制度,并且同员工们进行了必要的沟通和培训,但是员工们遵守不遵守这些都没有关系,违反规定的也不会受到任何惩罚,甚至都不会受到正义的谴责;严格遵守规章的员工们没有得到任何奖励,也不会成为道德的楷模。缺乏必要的奖惩刺激,让员工们不辨是非,碰到安全选择时甚至有些迷惘。

我们可以在技术甚至流程层面上对系统进行必要的安全设计,比如关于密码安全,我们可以在系统中启用复杂密码策略,但是能少掉必要的安全意识教育吗?能不告诉用户什么是所期望的复杂的密码吗?我们必须得告诉,无论是在密码输入栏旁边还是专门的密码安全培训,我们都需要同用户进行沟通,否则可能有用户不理解、不支持的行为,比如输入几次简单的不符合要求的密码被拒绝后便放弃或罢工了。

再回到最初的问题,为什么对员工要搞安全意识教育呢?我们的目标是想要员工们有正确的安全行为表现,我们首先要告诉员工们什么是正确的安全行为,然后要通过奖惩来刺激进行正确安全行为的选择。我们可以通过系统安全设计来帮助实现正确的安全行为选择,但是安全意识教育仍然很必要。比如想让一支队伍排列整齐,我们可以通过拉一条线来进行规范“设计”,但是这条线是个辅助,我们不告诉队伍如何好好使用这条线的话,不进行必要的知识灌输和行为激励的话,这条线仍然可能被拉得东倒西歪的。即使后来“设计”成一条钢管,也可能成为队伍拿来当棒使的武器或拔河用的器具。

system-security-design