三招建立安全意识文化

security-summit

不管是保障业务或生产的安全,还是保障信息或财产的安全,员工的生命安全永远是第一位,这已经成为全球大型组织机构的安全管理和应急响应常识。

但是在国内,特别是在不少高危行业里,安全事故仍然频频发生,在化工能源、基础建设和生产制造领域更是如此,血淋淋的人为安全事故堪比大型的自然灾害所造成的恶劣影响。

上述诸多行业的自动化程度越来越高,传统的体力劳动者需要掌握相关的技能才可胜任新的挑战,因此多数企业开始对员工进行岗位培训,以期来提升员工们的作业技能,社会培训机构也鼓励员工们通过继续学习等方式来获得一技之长。

在提升生产力和员工技能的同时,人们较多忽略的是安全。昆明亭长朗然科技有限公司的安全培训讲师Alice Wong说:安全事故不仅给业务的成功和员工们的幸福带来影响,甚至让生产力和竞争力受挫,更严重点会毁掉一份份事业。所以,在加强各类技能培训的同时,一定不能忽视安全,安全不应该只是某个部门或某些领导的职责,更应该让安全意识成为每位员工的基本功。

各类型组织的安全主管要充分认识到:大部分的安全事故的原因在于人为错误。为什么会有这些人为错误呢?显然是员工们没有得到足够的安全培训,他们不把安全当一回事儿,他们的安全行为并不受到鼓励或肯定,或者他们的不安全行为并没有受到惩罚或限制。

多项国际信息安全事故调查表明:拥有良好安全意识文化的公司发生安全事故的可能性要小得多,所以建立适当的安全意识文化是减少安全事故工作的重中之重。广泛开展的安全意识教育活动无疑是提升员工们安全认知的最好方式,唯有正确的安全认知,人们才会在实际工作情景之中做出正确的安全决定,人们一旦拥有了正确的安全认知并付诸于行动,安全意识文化便逐渐形成了。

要建立安全意识文化,无疑需要从信息安全意识教育培训开始,亭长朗然Alice向您分享有如下可供参考的三大招数:

1.开展安全意识推广活动,制定年度的安全意识推广活动计划,以便定期向员工传达不同的安全意识主题,比如每月或每半月发送关于密码安全、网络钓鱼、邮件安全、病毒防范、社交安全等等一个安全课题,可以通过告示栏或展板张贴安全宣传海报,通过邮件发送安全意识期刊,通过宣传单张彩页来派送安全提示贴等等。这些宣传品的设计不需要太死板,反而应该使用一些夸张的、有强烈吸引力的、能够引起人们思考的设计。不过这些安全意识活动往往是单向的,很难衡量效果如何,难以知晓员工样是否了解或认同要传达的安全理念。

2.发起安全意识讨论会,定期召开安全意识讲座或安全专家讲坛,甚至搞安全擂台赛,邀请员工们分享他们的安全认知和体验,这类方法更为有效,因为增强了与员工们的互动,并且集成使用了认知、注意力、态度、动机和行为。安全意识研讨会的不足之外是受制于时间和空间的限制,在大型的组织内难以覆盖到所有员工,而且比较耗费人力资源。

3.启动安全意识电子培训,电脑和智能终端的使用越来越普及,基于电脑的安全培训,以及移动学习使人们可以在任何时间、任何地点轻松学习到必要的安全知识和理念。精心设计的互动式安全意识课程更能激发员工们的注意力和动机,进而获得员工们对待安全的良好态度和正确行为。

不管使用上述哪种方法或组合使用,提升安全意识的关键是改变员工们对安全的态度,忽略和抵抗是最要不得的。要让员工们认识到安全方针政策并非只是死板的影响效率的规定或制度,而是来保障业务信息安全和生命财产安全的正能量。唯有积极正面的安全意识沟通和协调,才能消除员工们对安全制度、流程和控管措施的误解和抵抗,获得真心的理解和支持,进而建立健全合适的安全意识文化。

探讨员工安全意识培训的创新方法

信息社会来临,信息技术不断进步,改变着人们的工作和生活方式。电子邮件、网上交易、网络游戏、即时通讯,博客及社交网络等已经得到了广泛的应用,随着云计算、物联网、移动应用等等新技术的逐渐普及,信息安全问题也将越来越突出。您的组织和员工是否已经具备了应对这些信息安全问题的自我保护认知和防范本领?是否会定期更改密码?是否有定期更新操作系统和防病毒系统?是否有随意点击不明链接和打开不明附件?是否有随意连接到开放式无线网络?是否有随意向陌生人透露组织的商业机密信息?是否有在微博上发表不利于组织的言论?是否有随便填写个人资料?

我们相信这类问题可以一直问下去,而大部分的信息安全问题涉及到组织的业务成功和商业信誉,但它们不是简单地通过技术控制手段就可以轻松解决的,而更多是需要建立和提升员工的安全意识认知和自我防范观念。

组织内外相关人员的安全意识的薄弱往往是信息安全的最大隐患,而且这一项关于“人员”的弱点不像其它技术漏洞一样,它很不容易得到修复。一方面,组织内很少有员工会主动认识到自身的安全意识需要提高;另一方面,有关信息安全的议题往往比较生硬和枯燥,不当的限制条款或沟通交流容易引起人们的漠视,反感甚至消极抵抗。

这就引起一个如何进行信息安全意识推广的问题,如何让这生硬的议题变得有趣,挑动观者的心,让其主动对信息安全相关话题产生兴趣,进而主动吸收相关的信息呢?

在几十年前图书匮乏的年代,我们可以扔出类似“红宝书”的信息安全手册,强制员工背诵,进而达到灌输的目的,可是这种手段如果用在今天的年轻人身上,那将效果甚微,毕竟,他们已经习惯了更加活泼有趣的方式。

所以,我们也要以活泼有趣为出发点,规划各种推广活动,将信息安全意识包装到各类活动中,具体的活动可以是安全讲座、安全课程培训、安全周(或安全日,安全月),安全知识竞赛,安全节目表演等等,渠道可以运用时尚的微博、博客、调查、投票、抽奖等等。

安全讲座方面,可以结合组织的实际情况和当下的热门话题,选择一些安全的主题,如“3Q大战和机密信息保护”,“移动办公安全”,“防止微博泄密”等等,时间和地点的安排可以根据组织的实际情况决定,参加人员除了有兴趣的人员之外,可让每个部门或业务单元派出代表参加,这些代表应由部门经理指派,负责本部门信息安全的沟通协调和推广,当然,经理们最好是委派部门内有兴趣的人担当这一重任。

安全课程培训,则可分类两类,在这里我们针对全员甚至和组织相关联的第三方员工,所以只限制在信息安全基础,不探讨专业的信息安全认证培训和教育。

第一类是技术相关的培训,结合组织的安全架构,安全标准、操作流程和工具等,可设置如个人电脑安全基础综合课程,可从电脑密码的更改,屏保的等待时间,防病毒和个人防火墙的设置和操作,补丁的更新管理等等。

内容可以由负责终端安全的技术服务人员制作和维护,可以写出详细一步一步的操作指南和常见问题,甚至录制屏幕操作过程,配以讲解等等,记得将这些资源放到所有需要的员工都很容易找到的地方如内部IT服务网站或IT安全网站等。如果有较大的更新,也可以通知相关的员工,这样做方便有兴趣的或有需要的员工随时来访问或查询。

另外在推广方面,可以在各个部门中挑选电脑技术比较厉害的又愿意帮助他人的一线员工,加强他们的安全技术培训,以便他们能及时帮助发现和处理部门中的安全问题,以及向其部门中其他员工传授安全技术和理念。

第二类是进行安全意识的培训,结合组织的安全策略和标准,可以制作各种议题的安全意识课程,或综合全面的信息安全基础课程,课程的主题可以包括常见的话题,如社会工程学防范,邮件安全,密码安全,防网络钓鱼,社交网络安全等等。

根据组织的实际情况,可以制定培训的方式,通过课堂培训或通过电子学习。课堂培训适合规模较小的组织、以及较大规模组织的新员工入职培训;电子学习适合较大规模的组织定期进行全体员工的安全意识推广和刷新。

课堂培训针对新员工的一般时间两小时左右,针对全员的时间可酌情缩短至一小时。可以由组织内部安全人员进行讲解,或请专门的安全培训讲师,组织内部的安全人员更了解组织的实际情况,但在推广上可能也会有些阻力和难度;如果请外部讲师,得注意事前沟通组织较为关心的一些安全话题,比如此前出现的安全事故等等,以便讲师能有侧重方面的准备,和获得更好的效果,同时组织内部的安全人员也可以从外部讲师那里获得一些经验方面的指导,以及学习一些推广的技巧等等。

不过,如果您认为外面的和尚好念经,那就不全对了,除去专业讲师的收费较高不谈,大多数讲师不会允许录音或录像,而更多的精华内容在PPT或讲义中无法体现,另外课程完成之后的后期跟踪普遍较弱,而安全意识教育却是一件长期不懈的工作,所以,如果不是与组织长期合作的安全管理顾问,您不能给讲师提供的课堂培训以太高的期望。

当然,您自己可以内部开发相关的课程,以及使用内部的讲师,如果您的组织有内部的多媒体广告部门或者设计人才,可以同他们沟通。一般来讲,他们是设计制作方面的专家,但是可能对信息安全的认识不够,在和他们沟通成本花费的同时,您更要评估重要安全理念能否被创意团队很好的展现出来。记住,为了那两个小时的精彩,您可能要花上几十甚至上百倍的时间在准备工作上。

如果员工众多,选用电子学习方式无疑具有成本和效益方面的优势,如果是自己设计内容,您可以保证前期辛苦的准备工作可以被反复使用多年。当然,您也可以考虑采购信息安全意识的学习内容,导入到内部学习平台,甚至也有专业的服务提供商提供在线信息安全意识培训,能让您省去平台管理和维护的工作。电子学习的课程时间可以考虑设置半个小时左右,加上学习效果的测试,总时间可以限制在一个小时之内。

位于互联网“云”端的在线学习内容大多是多媒体格式,它们可是较耗带宽的,所以建议使用内部电子学习平台。您可以找组织中的培训部门沟通,看是否有现成的电子学习平台,是否方便导入学习内容。相信多数平台都支持导入符合标准的学习内容,当然如果没有现成的平台或有其它原因,您也可以考虑搭建一套平台,可以购买商业的学习软件系统或使用开源的系统,通过评估使用的人数和频率,简单计算硬件性能和网络吞吐的需求,一般来讲,中阶PC服务加上百兆网络环境可以应付多数大型组织,跨国或有多个大型站点的机构可以考虑在部分站点也建立学习系统。

培训和学习的需求不再劳重复罗嗦,和较宽松自由的安全讲座以及技术培训不同,我们建议强制进行组织内部全部员工的信息安全意识学习,鉴于组织的业务流程可能有很大差异,某些几乎不接触到电脑和关键信息资产的部门和岗位可以不使用电子学习,但是不能忘记为重要的供应链及合作伙伴的员工提供培训,毕竟他们也是组织业务安全的重要组成部分。

要强制推动全员参加电子学习,需要高层以及各级经理支持,经理要为所在部门或业务单元的安全负责,理所当然应该做好表率,所以可以安排经理主管们先行学习,然后再推广至大量一线员工。经理主管们要保障所在部门的信息安全,当然也要依赖下属每一位员工的安全意识和行为,所以他们应该要求下属员工积极参加学习。当然,也可以分阶段的推动,先挑选如信息技术和安全部门进行,一方面人员较熟悉,此外也可积累一些经验,方便后期的推广。另外,也要同人力资源进行沟通,争取人力资源部门支持将信息安全和员工的个人绩效相挂钩。

学习课程内容的设计除了生动活泼有趣之外,也要有很好的互动性,而且更重要是要衡量学习的效果,互动就不是单向的放视频,可以在课程中间设置防呆功能,比如设计小的问题让学习者点击鼠标或输入键值。衡量学习效果则可通过学习之后的在线考试进行,当然考试不是目的,只是手段。不过,在必须通过考试的压力下学习,效果会更好。

在技术上,学习系统可以和员工的工号或组织账号接合起来,典型的做法是使用LDAP数据库,也有不少组织使用活动目录Active Directory管理员工的账号,当然,如果无法使用集中的用户账号数据库,也可以批量导入用户名和密码,然后批量发送邮件通知员工参加,当然,也可以考虑通过组织的架构,逐级向下推动学习的进度。不过,这里面还需要各业务单元或部门的信息安全沟通协调人员进行推进。

需要给员工一些日子来自主选择学习的时间,一般可以告知从发送邮件起一个月内完成,一次测试不通过需要重新学习,直到测试通过为止。安全管理员在学习进度的跟踪上可以每周搜集和整理报告,并向各部门或业务单元的经理及协调人员发送进度和未通过的名单,以及采取必要的督促工作。如果您的目标是100%的员工100%的通过测试,您可能得在最后几天加强相关人员的联络和沟通,一般,这两个数值达到95%以上便可以接受。

对学习比较积极,对组织的安全文化有积极影响的员工和信息安全协调人员进行适当的奖励和表彰,以此来引导更多的员工关注信息安全。另外,新的安全威胁和问题会不断出现,也还需要保持员工信息安全意识的刷新,我们建议您至少每年更新一些培训内容,除了要求新入职员工学习之外,持续每年进行全员的安全意识电子学习计划。

security-awareness-e-learning如果您对信息安全意识培训计划和方案的创新有想法,欢迎您随时联系我们,一起探讨一起进步。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898