安全文化建设需让员工走出舒适区

在公司内部,想要发起一场安全文化宣传活动不难,要形成具有长久效应的安全文化气氛不易,无疑企业文化及安全管理负责人需要下一番努力。

安全文化建设的最大驱动力无疑是来自业务成功的需求,当然,法规监管、行业准入、甚至合作伙伴的要求等等也都是驱动力量。然而,我们清晰可见的是在这些驱动力下,多数公司仍然严重信赖传统的技术类安全控制手段。虽然安全技术的不断创新让安全管理也越来越容易,然而显然技术措施无法完全兼顾安全治理的效率和效益。再高档的监控设备也经不起一口喷射到摄像头的恶心的浓痰,再高端的网络防火墙也会被懒散的管理员设置为不起任何访问控制作用的路由器。

如何科学地建设公司的安全文化呢?昆明亭长朗然科技有限公司安全文化顾问James Dong说:公司负责人要以部分国家标准为依据,结合企业实际和安全标准化创建及其他管理制度开展。以安全教育活动为载体强化安全文化建设,但是实话讲,国家标准都是高屋建翎,不会给出具体的案例性指导。于是不少公司就像搞革命运动一样,搞很多标语横幅、大会演讲、人山人海、上台颁奖……

需知,建立企业安全文化不是做“秀”给领导给外界看,而是要争取人心,要让受众们让员工们理解安全该怎么做,以及为什么要这样做。那我们想一想,诸如:“我的安全我负责,他人安全我有责,企业安全我尽责”等安全警语有给员工们什么实用的安全知识么?尽管这些警示语强调了安全责任,但是效果往往不佳,因为展示了太多的高压态势之下责任强加欲望,并没有从受众本身的特别出发,让受众感到有什么好处,所以容易引起受众的忽略甚至反感。

通过对一些简单的日常安全认知和行为的评估测试,能够获得整体的安全认知水平,通常在“该怎么做才安全”的层面,如果评估结果太差,则无疑需要强化安全知识内容的宣传。如果评估结果尚可,那说明最基础的安全知识已经被多数员工们所理解和掌握,安全文化建设的工作重点则应该将放在“为什么要这样做才安全”这个更高的层面上。

如果员工们普遍了解了“该怎么做才安全”,还不能指望他们会严格遵守,他们可能从内心深处并不认同,这往往是很多安全事故的基本原因。对这个层面上的员工,加强安全管理监督、自查自纠、交叉检查等等措施往往收效并不会太明显,即使多次检查下来看起来不错,也只是表面现象,而且这些检查活动往往会事倍功半。

人是活物,不是机器,别太期望叫他该怎么做他就会怎么做。昆明亭长朗然公司James表示:人们有自己的思想,有自己的思维习惯,我们要做的是改变这些。让受众超越“该怎么做才安全”的层面,让他们思考和理解“为什么要这样做才安全”,他们才会有安全和思想和思维习惯,才会真正将安全流入到自己的血脉和行为之中。

人的本性是比较懒散的,保障安全往往需要人们付出更多,特别是对于那些长期不关心安全的人们。他们已经形成了一个不良的习性——“舒适区”。要让人们走出这个“舒适区”,安全理念才能深入人心,安全文化建设才能走上正轨。

聪明的安全作业流程和指南中往往不仅仅有关于“为什么要做这项安全流程”的目标,以及“该怎么做”的方法,更有“为什么要这样做”的精解,在些基础之上配之适当的奖惩措施,才能让安全流程和指南逐渐成为可不断重复的日常运营不可或缺的一部分,融入企业安全文化之中。

如果您对这个话题有高见或者想讲些什么,请不要犹豫,随时联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

IT安全规则,要的是落实而不是死守

风险与合规是IT安全人常常挂在嘴边的热词,可是真正建立起了有效的安全策略的组织,访来问去,数来数去,不过三成而已。

技术高超的安全渗透攻击人员,只要进入到一家组织机构内部,便可以在几分钟内,轻松入侵一家组织的网络基础架构,而要有效防范这类入侵,却比徒步登天还难。保护网络信息安全是一个体系化的工作,这简单就是宇宙真理啊!如果我们有足够的物理安全防范措施,完全可以将安全渗透测试人员拒之门外,这样,入侵的难度也会成倍的增长。

说到底,保障IT安全,不能仅仅只依赖IT的手段,IT安全防护措施总是落后于入侵手段,这是一个不争的事实。但是在一个管理体系下,所有的玩法都要守规则,黑客江湖也是如此,更何况在这个文明的世代,在党所一统的江山之下呢!

说很多安全防范技术根本搞不定安全入侵者,也有些过,至少可能会很多安全技术高手不服。其实,即使您是黑客高手,您若不遵守业界普遍认可的规则,下场那是绝对逃不出技能远不如您的安全力量的惩戒,就如同孙悟空逃不出如来佛手掌一样。对一名IT安全技术热来讲,如何了解IT安全“行规”呢?其实,如同防范安全入侵一样的道理,补充好自己的短板–强化安全管理理论知识技能的学习。

您亦可能是组织机构内的IT安全管理从业人员,您讨厌那些人治的拍脑袋的安全做法,想通过一套IT安全规则来建立理想的信息(系统)使用秩序。这是多么明智的想法和做法!可是,发布一套IT安全规则容易,要让这套IT安全规则生效则很难。不是一般的难,而是阻力重重,办不了事儿常见,得罪人事小,影响士气事大。

不要怀疑自己!我们辛勤发布的IT安全规则不被遵守,并不是我们存有私心,想借此来搞办公室政治。相反,是因为我们的出发点太过于高尚和伟大,我们以为这是正确的方向和做法,大家应该会自觉的遵守。其实,我们把事情想像的太过简单和完美,在受众的眼中,IT安全规则,要么我不知道是什么;要么即使我知道了,也只是一纸文书,和我没有什么关系;哦,和我可能多少有点关系,那就是IT安全规则是整人的,没事儿找事儿!

现在您可能已经知晓了问题的核心所在,您并没有被这些话激怒,您可能开始彻悟。昆明亭长朗然科技有限公司信息安全顾问董志军表示:IT安全规则要深入人心,要获得有效的执行力,首先不能太过死板。有些IT安全专员可能会说:IT政策应该获得强制执行。我要说:“强制”一词虽然很好地强调了“效力”,但是有些高压强迫之意,有些不近人情的味道,在强调“创新为要”和“人文关怀”的年代,并不能很好地表达出“有效”。

所以,制定和发布IT安全规则,要懂得搞民主,懂得搞浪漫,营造全员参与的气氛,这时候,IT安全专业高手应该让位给沟通协调高手。有的人说:我们就搞白色恐怖,重惩戒,几次下来,安全好多了。这里面有一个假定的前提,就是默认员工们是不自觉的。如果员工们不自觉,那更多应该是组织文化管理的问题,而非仅仅是信息安全所面对的。我们不否认在白色恐怖下,人们对待安全的态度和做法会变得很谨慎。但是在白色恐怖气氛笼罩下,人员的士气和社会的生产力降低了多少!那是安全损失的多少倍!

该如何让IT安全规则获得很好的执行?首先,IT安全规则需要被受众所理解,在规则的发布过程中,重要的是沟通,培训、宣讲、演示都是不错的沟通方法,而检查沟通效果的方法是访谈和考核。其次,是检查IT安全规则的实施效果,每项IT安全流程都有其输入和输出,也有其控制点。对这些地方进行检查,是了解IT安全规则执行力的不二方法。在这里,我们不能太过于死板,特别是当IT安全规则检查成了一项常规工作之后,我们可能会有完善的检查清单,但是却缺乏一颗熟知IT安全规则背景精神的善心。就如同很多街头执法人员死搬工作条文,而不具备人道主义和人文精神一样,粗暴执法的结果常常是激化出一起又一起社会矛盾和悲剧事件。

如何让IT安全规则检查人员拥有一颗熟知IT安全规则背景精神的善心呢?需要的仍然是IT安全规则的沟通,我们要让IT安全规则的目的和精神要义得到展示,它们本身就应该是来协助我们做好工作的,而非冷冰冰的来限制我们的条文。

说到这里,很多IT安全人没有太多的经验。在IT安全规则的沟通,特别是IT安全规则的背后精神要义的讲解方面,昆明亭长朗然科技有限公司有一整套的动画素材和互动式教程。欢迎各位IT安全人来与我们探讨、合作。当然,这些安全精神要义,也可以用在IT安全范围之外。

不要死板的守着那些冰冷无情的条文,开启您的IT安全善心,感化受众,才是获得IT安全落实的最高境界!点击如下的图示,在线体验一下我们的信息安全意识沟通课件吧!其实,您可能更对IT管理感兴趣,在我们的IT安全管理教程中,就包含了大量的IT安全规则要义呢!

Internet security online business concept pointing security services

欢迎联系我们,在线免费预览我们的各种课程内容。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898