分享几招安全意识宣教的战略战术

IT安全专员使用各种技术和工具来保护公司的重要以及敏感​​数据,但是其中最重要的安全方法,也就是安全意识培训,却经常被忽略。防病毒、防火墙和备份在IT安全领域中扮演着关键角色,但是最终,受过良好的安全教育和训练有素的员工才是帮助保护组织信息安全的核心要素。IT安全团队要避免花费无数艰苦的时间与病毒作战、填补安全性差距、正确恢复文件……对此,昆明亭长朗然科技有限公司信息安全管理体系专员董志军表示,各类型组织中的信息安全从业人员,都需要在组织范围内,对员工们进行必要的安全意识培训。当然,每年一度的PowerPoint展示仅能混混日子,是远远不足够的,如下,我们向您分享几条这方面的战略方法和战术技巧:

掌握知识是成功的一半。赋予员工们足够的安全知识永远不是坏事。信息安全团队可以开展简短的安全意识教育活动,例如通过电子邮件发送安全知识点滴,以告知员工有关勒索软件与恶意软件之类的公司安全概念,或借助餐厅的电视宣传屏,告知员工们如何识别社交工程企图的知识。员工通常会由于无知而导致违反安全的行为,因此,设置“信息安全基础入门”之类的学习课程,将大大减少由于员工人为错误而引起的安全性问题。

不要躲避阴暗的一面。确保员工重视安全的一种方法是威慑他们,尤其在不重视规则的文化圈。向员工们说明不遵守安全惯例的风险和后果,包括可能被解聘、甚至处以罚款和交由司法诉讼。在安全意识培训期间,与员工们分享公司、行业和全世界的安全案例故事,以传达不良安全实践的影响。如果不方便使用内部案例,请与您的团队分享知名机构最近发生的重大安全漏洞的故事。时刻跟踪业界安全事故,定期上网搜一搜安全违规案例,这样就可以不断积累和更新素材,在进行宣教时,就更易抓住受众的心,获得他们对安全要求的理解和认可。此外,在对团队进行安全意识教育时,可以使用可能会影响到他们个人的示例。例如员工认为自己的个人银行业务和信用卡信息可能受到威胁的话,则他们更有可能养成良好的安全习惯。

如果心存疑虑,便将其丢弃。信息安全意识培训的核心概念是告诉员工们不要打开可疑链接或下载奇怪的文件。无论您是定期发送安全意识电子邮件,还是进行线上培训课程,您都应始终重复并执行这一核心思想……不要打开奇怪的东西。告诫员工们切勿打开意外的附件或链接。这包括来源不明,甚至已经来源的奇怪附件或链接。另一个通常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘或USB存储驱动器。众所周知,USB设备价格低廉,数据窃贼会将USB设备留在公共场所,那里面装有旨在窃取信息的木马病毒。而且,U盘体积很小,容易丢失。

保持计算机设备的清洁。应用安装的越多,安全漏洞和可能导致的问题也就越多。您的组织可能对可以在计算机上安装和访问的内容有明确的规则,但是这些规则是否得到有效传达和遵守?确保员工们知道信息安全规则。在您的组织内部网站上清晰地发布相关规则,或频繁发送安全意识培训电子邮件,以尽可能清晰地转发重要的安全点。不能过于依赖上网行为管理,员工们并不傻,如果没有足够的安全合规意识,他们中的聪明人可能会找到很多突破上网行为管理的方法,这反倒很不利于信息安全与保密管控。保持清洁可以不仅限于计算机设备,还是包括桌面,因为桌面上还会有很多计算机之外的信息、设备和财物。定期的办公区安全检查是不错的安全意识宣教辅助手段。

坦诚沟通,而不要躲躲闪闪。一方面,信息安全专员要站在组织的立场上,向员工们强调安全要求的必要性,采取开放的姿态,讲述可接受的信息(系统)使用准则,员工行为安全监控等等。另一方面,要鼓励员工们及时报告安全违规情况和安全威胁事件。对网络造成危害的员工通常会感到尴尬,要避免这一点,需要鼓励其尽早发声,由于员工个人的不慎,将病毒引入组织甚或导致数据泄漏的情况很常见,这往往并非员工本身的恶意行为,因此员工们没有任何隐藏的理由。如果您认为自己可能已成为网络钓鱼诈骗的受害者或下载了病毒,请迅速采取行动。立即让信息安全团队了解情况,并收集尽可能多的信息以采取必要的应对和防范行动,以避免和挽回可能的损失。

综上所述,信息安全团队进行了大量的幕后工作,以确保组织的网络安全。然而,赋予员工们强大的安全习惯可以将安全带到一个新的高度。切记:“谨慎是安全之源,小心行得万年船。”多年来,昆明亭长朗然科技有限公司专注于信息安全意识宣教业务,我们帮助大量各种类型各种规模的客户对员工进行安全、保密与合规意识的宣传教育,获得了大量的好评,欢迎有兴趣和需求的客户及行业伙伴们联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

建立安全意识计划的三步实战

旨在保障安全的信息技术要比有史以来的任何时候都要先进,与此同时网络安全事件的数量也在不断地创造历史上的新高,如何解释这种悖论呢?昆明亭长朗然科技有限公司安全宣教专员董志军表示:原因其实很简单,人为因素。在国家宏观层面,网络安全靠人民,在单位微观层面,网络安全靠职员,这个道理前些年被安全技术专员们不屑,但最近几年,由于人为因素所直接导致的安全事件高达65%,于是重视员工的安全意识,防止人为错误几乎取得了业界人员的高度认可。

如何应对人为因素造成的网络安全事件呢?在昆明亭长朗然科技有限公司,我们开发了修复“人为错误”的安全意识课程以及安全培训平台,因为对于我们来说重要的是,人员在当今的业务安全环境中扮演着越来越重要的成分。

同时,我们认识到:如果员工们不了解或不认同工作环境中围绕他们的众多安全问题;不了解保障信息安全性的最佳做法;不知道安全事件发生时如何正确应对,那么即使是再好的安全技术平台也将没有办法发挥价值。

在我们以前的博客文章中,我们多次写过如何让员工们成为安全大使、安全达人,并谈到了赋予他们参与安全行动的能力,我们也提到一些建立信息安全意识计划的指导性方法。随着时代的演进,我们需要再进行一些回顾和更新,温故而知新,以融入时代精神,在安全意识宣教领域,不断突破和创新。

废话少说,让我们给您一些有关如何在组织中设置安全意识计划的实用指导。目标是停止将安全性视为由专业人员处理的一系列一次性事件或活动(通常是在事件发生后对事件做出反应),并建立一种积极主动的普遍文化,使员工可以识别安全风险并自行采取措施或酌情升级上报。

构建安全知识库

我们要创建一批员工们需要知道的安全知识库,并在他们需要有关安全问题的信息时进行查询。具体内容可以包含与安全相关的标准、政策和程序。

记得,知识库的建立和完善是一个永远在路上的工作,所以不要等到有了完整的指南后再使用它,否则您将永远不会发布任何东西。从您拥有的内容开始,并在进行过程中不断添加信息。如果有方法可以审查和批准内容的准确性和适当性,您甚至可以鼓励员工提供材料,或者外购通用知识库进行匹配性适用性修改。

我们建议您以电子书或百科的形式发布,因为这些形式比纸质指南更容易更新。如果您决定使用百科,那么员工也可以轻松提交内容。使“知识”易于访问的关键是建立良好的导航和可用性帮助,以及主题关联、链接和详尽的索引。

核心的知识内容应包括:

日常安全实践的最佳做法:包括有关密码安全、桌面清洁、软件下载和安装、个人设备使用、远程工作等主题的政策和最佳做法。

例如,如果某个员工想知道如何下载和安装新软件,请告诉他们如何确保该软件是合法的,如果有需要,可以向谁寻求软件安装许可。

关键联系人:包括紧急事件响应小组成员的姓名和联系方式,以及有关联系时间的指导。

与安全相关的政策和程序,包括安全政策、标准、指导和作业流程,如桌面安全检查标准、差旅安全自查清单、计算机上线安全指南等等。

常见问题解答:提供有关最重要和最常见的安全问题的信息,并提供详细讨论的链接。

设置实时安全沟通

安全“知识库”是不断发展的参考性信息,我们还需要使用各种内部沟通工具以建立更多理解和互信,安全部门“自言自语”肯定不是我们想要的结果。我们建议建立和优化两个沟通渠道:一个用于使员工与可以快速回答安全相关问题的人员保持联系;另一个致力于需要升级的紧急安全问题。

很多机构都有IT服务管理渠道,可以将安全问题用户入口纳入到IT帮助台(呼叫中心)职能内,将紧急安全问题的应对转移到专业安全技术人员。这样,即提高了快速解决安全问题的效率,又能让员工们随时得到一般安全性疑问的解答。

安全意识培训活动

安全“知识库”和沟通渠道是安全意识基础架构的关键部分,此外,我们还需要使用更多动态且引人入胜的方法来将重要安全认知推给员工们。

普通员工不想参加有关信息安全的讲座,特别是80后90后,与其建立沟通和信任的好方法是使用线上培训和线下活动。

培训活动可以涵盖了一系列的安全意识主题,使用模拟场景效果最好,可以在模拟场景中进行演示,这样可能会更有帮助。一切活动都是为了使其变得更加真实和吸引人,这样员工们就越有可能吸取教训并将其应用到实际工作之中。

这些安全意识培训活动的真正价值在于营造开放式交流的文化。对些,昆明亭长朗然科技有限公司董志军强调说:员工们可以通过活动更多思考安全,他们知道的越多,就越会观察和分析,也只有这样,方能做好准备以防止安全事件或在事件发生时做出正确的响应。

安全意识培训活动的举办周期和频率可以自行灵活决定,一般在业务淡季多举办一些,特别日子如假期前举办假期安全课题。一般来说,年度一次全员安全意识电子学习刷新,每年配合国家网络安全周搞一次线下宣传活动,每季度搞一次安全意识主题交互活动和测试,每周发放一些安全动画视频和安全小提示,这些都是在采取努力将安全融入实际工作,安全搞上去了,隐患就会慢慢消失。

活动中需要宣传的内容很多,可能包括:云存储、无线网络安全、差旅信息安全、双身份身份验证、移动应用安装等等话题,当然也应该发布网络犯罪的新趋势,例如最近的增长趋势,新出现的勒索软件、新的社会工程骗术、网络钓鱼邮件的新手法等等。

小结

根据木桶理论,组织机构的安全性取决于安全能力最弱的员工,因此针对员工们的安全培训至关重要。通过创建“安全意识计划”,您可以为持续的安全学习和沟通计划奠定良好的基础,同时不会使员工们负担过多的安全信息。如果安全能成为所有人心智的一部分,则可以合理地期望安全态势得到强化。

使人们尽可能轻松地安全地完成工作,就需要我们为安全问题和疑虑的提出敞开大门,使用“安全知识库”、“安全沟通渠道”、“安全意识活动”这三驾马车来护航。这样,组织机构和员工们就不容易受到“我不知道”的内部威胁。这样,安全专业人员就可以将更多精力用于就对外部威胁。

最后,要确保安全“意识计划”深入到企业文化的各个方面,需要从员工入职到离职的整个生命周期中,不断进行安全认知的刷新和改进。昆明亭长朗然科技有限公司帮助各类型的组织机构,包括各机关单位和公司企业,建立适用的安全意识计划,我们提供全面的多种形式的安全知识内容和在线培训,欢迎有兴趣和需要的客户及伙伴们联系我们,洽谈安全意识方面的采购与合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898