信息社会来临,信息技术不断进步,改变着人们的工作和生活方式。电子邮件、网上交易、网络游戏、即时通讯,博客及社交网络等已经得到了广泛的应用,随着云计算、物联网、移动应用等等新技术的逐渐普及,信息安全问题也将越来越突出。您的组织和员工是否已经具备了应对这些信息安全问题的自我保护认知和防范本领?是否会定期更改密码?是否有定期更新操作系统和防病毒系统?是否有随意点击不明链接和打开不明附件?是否有随意连接到开放式无线网络?是否有随意向陌生人透露组织的商业机密信息?是否有在微博上发表不利于组织的言论?是否有随便填写个人资料?
我们相信这类问题可以一直问下去,而大部分的信息安全问题涉及到组织的业务成功和商业信誉,但它们不是简单地通过技术控制手段就可以轻松解决的,而更多是需要建立和提升员工的安全意识认知和自我防范观念。
组织内外相关人员的安全意识的薄弱往往是信息安全的最大隐患,而且这一项关于“人员”的弱点不像其它技术漏洞一样,它很不容易得到修复。一方面,组织内很少有员工会主动认识到自身的安全意识需要提高;另一方面,有关信息安全的议题往往比较生硬和枯燥,不当的限制条款或沟通交流容易引起人们的漠视,反感甚至消极抵抗。
这就引起一个如何进行信息安全意识推广的问题,如何让这生硬的议题变得有趣,挑动观者的心,让其主动对信息安全相关话题产生兴趣,进而主动吸收相关的信息呢?
在几十年前图书匮乏的年代,我们可以扔出类似“红宝书”的信息安全手册,强制员工背诵,进而达到灌输的目的,可是这种手段如果用在今天的年轻人身上,那将效果甚微,毕竟,他们已经习惯了更加活泼有趣的方式。
所以,我们也要以活泼有趣为出发点,规划各种推广活动,将信息安全意识包装到各类活动中,具体的活动可以是安全讲座、安全课程培训、安全周(或安全日,安全月),安全知识竞赛,安全节目表演等等,渠道可以运用时尚的微博、博客、调查、投票、抽奖等等。
安全讲座方面,可以结合组织的实际情况和当下的热门话题,选择一些安全的主题,如“3Q大战和机密信息保护”,“移动办公安全”,“防止微博泄密”等等,时间和地点的安排可以根据组织的实际情况决定,参加人员除了有兴趣的人员之外,可让每个部门或业务单元派出代表参加,这些代表应由部门经理指派,负责本部门信息安全的沟通协调和推广,当然,经理们最好是委派部门内有兴趣的人担当这一重任。
安全课程培训,则可分类两类,在这里我们针对全员甚至和组织相关联的第三方员工,所以只限制在信息安全基础,不探讨专业的信息安全认证培训和教育。
第一类是技术相关的培训,结合组织的安全架构,安全标准、操作流程和工具等,可设置如个人电脑安全基础综合课程,可从电脑密码的更改,屏保的等待时间,防病毒和个人防火墙的设置和操作,补丁的更新管理等等。
内容可以由负责终端安全的技术服务人员制作和维护,可以写出详细一步一步的操作指南和常见问题,甚至录制屏幕操作过程,配以讲解等等,记得将这些资源放到所有需要的员工都很容易找到的地方如内部IT服务网站或IT安全网站等。如果有较大的更新,也可以通知相关的员工,这样做方便有兴趣的或有需要的员工随时来访问或查询。
另外在推广方面,可以在各个部门中挑选电脑技术比较厉害的又愿意帮助他人的一线员工,加强他们的安全技术培训,以便他们能及时帮助发现和处理部门中的安全问题,以及向其部门中其他员工传授安全技术和理念。
第二类是进行安全意识的培训,结合组织的安全策略和标准,可以制作各种议题的安全意识课程,或综合全面的信息安全基础课程,课程的主题可以包括常见的话题,如社会工程学防范,邮件安全,密码安全,防网络钓鱼,社交网络安全等等。
根据组织的实际情况,可以制定培训的方式,通过课堂培训或通过电子学习。课堂培训适合规模较小的组织、以及较大规模组织的新员工入职培训;电子学习适合较大规模的组织定期进行全体员工的安全意识推广和刷新。
课堂培训针对新员工的一般时间两小时左右,针对全员的时间可酌情缩短至一小时。可以由组织内部安全人员进行讲解,或请专门的安全培训讲师,组织内部的安全人员更了解组织的实际情况,但在推广上可能也会有些阻力和难度;如果请外部讲师,得注意事前沟通组织较为关心的一些安全话题,比如此前出现的安全事故等等,以便讲师能有侧重方面的准备,和获得更好的效果,同时组织内部的安全人员也可以从外部讲师那里获得一些经验方面的指导,以及学习一些推广的技巧等等。
不过,如果您认为外面的和尚好念经,那就不全对了,除去专业讲师的收费较高不谈,大多数讲师不会允许录音或录像,而更多的精华内容在PPT或讲义中无法体现,另外课程完成之后的后期跟踪普遍较弱,而安全意识教育却是一件长期不懈的工作,所以,如果不是与组织长期合作的安全管理顾问,您不能给讲师提供的课堂培训以太高的期望。
当然,您自己可以内部开发相关的课程,以及使用内部的讲师,如果您的组织有内部的多媒体广告部门或者设计人才,可以同他们沟通。一般来讲,他们是设计制作方面的专家,但是可能对信息安全的认识不够,在和他们沟通成本花费的同时,您更要评估重要安全理念能否被创意团队很好的展现出来。记住,为了那两个小时的精彩,您可能要花上几十甚至上百倍的时间在准备工作上。
如果员工众多,选用电子学习方式无疑具有成本和效益方面的优势,如果是自己设计内容,您可以保证前期辛苦的准备工作可以被反复使用多年。当然,您也可以考虑采购信息安全意识的学习内容,导入到内部学习平台,甚至也有专业的服务提供商提供在线信息安全意识培训,能让您省去平台管理和维护的工作。电子学习的课程时间可以考虑设置半个小时左右,加上学习效果的测试,总时间可以限制在一个小时之内。
位于互联网“云”端的在线学习内容大多是多媒体格式,它们可是较耗带宽的,所以建议使用内部电子学习平台。您可以找组织中的培训部门沟通,看是否有现成的电子学习平台,是否方便导入学习内容。相信多数平台都支持导入符合标准的学习内容,当然如果没有现成的平台或有其它原因,您也可以考虑搭建一套平台,可以购买商业的学习软件系统或使用开源的系统,通过评估使用的人数和频率,简单计算硬件性能和网络吞吐的需求,一般来讲,中阶PC服务加上百兆网络环境可以应付多数大型组织,跨国或有多个大型站点的机构可以考虑在部分站点也建立学习系统。
培训和学习的需求不再劳重复罗嗦,和较宽松自由的安全讲座以及技术培训不同,我们建议强制进行组织内部全部员工的信息安全意识学习,鉴于组织的业务流程可能有很大差异,某些几乎不接触到电脑和关键信息资产的部门和岗位可以不使用电子学习,但是不能忘记为重要的供应链及合作伙伴的员工提供培训,毕竟他们也是组织业务安全的重要组成部分。
要强制推动全员参加电子学习,需要高层以及各级经理支持,经理要为所在部门或业务单元的安全负责,理所当然应该做好表率,所以可以安排经理主管们先行学习,然后再推广至大量一线员工。经理主管们要保障所在部门的信息安全,当然也要依赖下属每一位员工的安全意识和行为,所以他们应该要求下属员工积极参加学习。当然,也可以分阶段的推动,先挑选如信息技术和安全部门进行,一方面人员较熟悉,此外也可积累一些经验,方便后期的推广。另外,也要同人力资源进行沟通,争取人力资源部门支持将信息安全和员工的个人绩效相挂钩。
学习课程内容的设计除了生动活泼有趣之外,也要有很好的互动性,而且更重要是要衡量学习的效果,互动就不是单向的放视频,可以在课程中间设置防呆功能,比如设计小的问题让学习者点击鼠标或输入键值。衡量学习效果则可通过学习之后的在线考试进行,当然考试不是目的,只是手段。不过,在必须通过考试的压力下学习,效果会更好。
在技术上,学习系统可以和员工的工号或组织账号接合起来,典型的做法是使用LDAP数据库,也有不少组织使用活动目录Active Directory管理员工的账号,当然,如果无法使用集中的用户账号数据库,也可以批量导入用户名和密码,然后批量发送邮件通知员工参加,当然,也可以考虑通过组织的架构,逐级向下推动学习的进度。不过,这里面还需要各业务单元或部门的信息安全沟通协调人员进行推进。
需要给员工一些日子来自主选择学习的时间,一般可以告知从发送邮件起一个月内完成,一次测试不通过需要重新学习,直到测试通过为止。安全管理员在学习进度的跟踪上可以每周搜集和整理报告,并向各部门或业务单元的经理及协调人员发送进度和未通过的名单,以及采取必要的督促工作。如果您的目标是100%的员工100%的通过测试,您可能得在最后几天加强相关人员的联络和沟通,一般,这两个数值达到95%以上便可以接受。
对学习比较积极,对组织的安全文化有积极影响的员工和信息安全协调人员进行适当的奖励和表彰,以此来引导更多的员工关注信息安全。另外,新的安全威胁和问题会不断出现,也还需要保持员工信息安全意识的刷新,我们建议您至少每年更新一些培训内容,除了要求新入职员工学习之外,持续每年进行全员的安全意识电子学习计划。
如果您对信息安全意识培训计划和方案的创新有想法,欢迎您随时联系我们,一起探讨一起进步。
电话:0871-67122372
微信:18206751343
邮件:info@securemymind.com
QQ: 1767022898
