安全意识教育还是安全系统设计?

如同社会上少数人不再相信教育能够改变未来一样,几乎每年都有少量安全业者质疑安全意识培训的价值,但是人们仍然希望孩子们能读好的大学受到好的教育,安全管理负责人仍然在对员工们实施着基础的安全认知培训。

我们的确需要反思,我们为什么对员工要搞安全意识教育呢?在员工们在安全认知上太“菜”,还是我们的系统在进行安全设计的时候没有考虑到员工们的“菜”呢?我们相信两方面的原因都有,但是无论员工们的安全认知,还是系统的安全设计,都是在不断改进之中。

员工们除了每年接受一定时间的安全意识培训之外,实际上也会受到人类进化和社会环境的影响,比如看看电视了解了新型的电话诈骗,丢失了手机后更深入地认识到移动信息的安全等等,这是很自然不过的了。

说到安全意识教育,人们可能会说,“相关的知识理念人们都了解,甚至也认同,但是就是不遵守,别说黄赌毒,就问问抽烟、酗酒和熬夜的那些人们吧,他们可能比没有那些行为的人更理解其危害,然而有什么用呢?”这难道是教育的失败吗?昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:这种情形的确是教育的失败,但并不全是,准确点说更多是受众的选择问题。因为在有些情况下,人们并不选择正确的答案,这里面可能有外因和内因,外因往往是外界的刺激、环境的影响等等,内因则是对诱惑的抵制力、对行为的约束力等等。比如多年不见的老朋友相聚,往往都知道不应该喝得乱醉,但仍然会受酒桌文化的影响,又不得不在心里告诉自己去放纵一次。

上述的例子可能并不全适用于安全教育,多项安全事故调查表明:职场新人往往更容易成为安全事故的受害者,显然在多数职业人士的心目中,安全生产事故的后果不同于偶尔一次放纵对身体健康的影响。

设计可以不断地改进以增长安全性,但是相靠安全的设计来避免“菜鸟”们出现危险的行为路途漫长,甚至很不现实。比如菜刀可以用来切菜,当然也能误切手指,我们不否定可以在菜刀的设计上考虑误切手指的防范功能,但是又有多少人使用这样的“安全”菜刀呢?

有不少公司出台了安全相关的规章制度,但是却没有与员工进行沟通,员工们对安全的认知远达不到规章制度所期望的水平,这种情形便是安全知识教育的不足。

安全意识教育,不仅仅是给人们安全知识,更需要教会人们进行正确的安全选择。如果某人有正确的安全知识,但是却要故意捣烂,比如自残或实施破坏,那的确是教育的失败,但和教授正确的知识没有关系,只和选择有关。

向员工们提供正确的安全意识知识教育是永远不可少的,但是在选择方面,需要给予必要的外部刺激。虽然关于安全行为的选择权握在最终用户的手中,但是适当的外部刺激能够促进员工们在面临安全问题时进行正确的选择。

有不少公司出台并颁发了安全相关的规章制度,并且同员工们进行了必要的沟通和培训,但是员工们遵守不遵守这些都没有关系,违反规定的也不会受到任何惩罚,甚至都不会受到正义的谴责;严格遵守规章的员工们没有得到任何奖励,也不会成为道德的楷模。缺乏必要的奖惩刺激,让员工们不辨是非,碰到安全选择时甚至有些迷惘。

我们可以在技术甚至流程层面上对系统进行必要的安全设计,比如关于密码安全,我们可以在系统中启用复杂密码策略,但是能少掉必要的安全意识教育吗?能不告诉用户什么是所期望的复杂的密码吗?我们必须得告诉,无论是在密码输入栏旁边还是专门的密码安全培训,我们都需要同用户进行沟通,否则可能有用户不理解、不支持的行为,比如输入几次简单的不符合要求的密码被拒绝后便放弃或罢工了。

再回到最初的问题,为什么对员工要搞安全意识教育呢?我们的目标是想要员工们有正确的安全行为表现,我们首先要告诉员工们什么是正确的安全行为,然后要通过奖惩来刺激进行正确安全行为的选择。我们可以通过系统安全设计来帮助实现正确的安全行为选择,但是安全意识教育仍然很必要。比如想让一支队伍排列整齐,我们可以通过拉一条线来进行规范“设计”,但是这条线是个辅助,我们不告诉队伍如何好好使用这条线的话,不进行必要的知识灌输和行为激励的话,这条线仍然可能被拉得东倒西歪的。即使后来“设计”成一条钢管,也可能成为队伍拿来当棒使的武器或拔河用的器具。

system-security-design

将网络安全政策纳入安全意识宣教活动

腾讯集团安全中心最近发起了一项针对职场人员的调查,其中42%的受访者表示不知道他们组织的网络安全政策,这一比例在受访者中平均分配。

大约27%的受访者认为,即使存在此类网络安全政策,他们也没有必要了解,这应该是一个严重的危险信号。当涉及到重要数据时,组织中的全体人员在安全方面都可以发挥重要作用。漠不关心很可能很快就会导致安全事件的发生。

约56%的受访者没有接受过网络安全相关培训。在这一数字中,35%的人认为自己应该接受培训,21%的人认为没有必要接受培训。

那些认为不需要培训的受访者是另一个危险信号。从数据保护的角度来看,受雇用的每一个人都必须接受培训,因为年度培训是多项法律规定的义务。无论个人是否认为需要培训,都不应从实际和合规的角度略过培训。

最后的话题是IT设备保护意识,这导致了相对积极的响应率。大多数答卷人了解安全措施,认识程度因角色而异。

这些调查结果意味着什么?在对待安全问题时,人们的认知存在严重缺陷。尽管安全事故报告和通知源源不断,但如果人们不认为安全受到攻击,则不会采取适当行动来避免问题。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:很多领导不愿意在网络安全培训方面花钱,因为他们认为近来该组织在网络安全方面并没出什么事儿。

领导的忽视造成网络安全培训的缺失,但缺少风险分析往往被认为是人们根本不遵守规定的源头。对此,启明星辰公司网络安全专家警告称:不断创新的网络威胁可能会刺激更大的网络犯罪行动,在可预见的未来,其导致的结果可能是灾难性的。

大道理如此,但问题是,如何拯救未来于坍塌?在组织的哪一级,该采取哪些行动?普通员工可能觉得不需要强制执行网络安全政策,相关的网络风险与他们无关,而认为这是一个组织应该负责的问题。

对此,昆明亭长朗然公司董志军表示:国人缺乏对规矩的敬畏之心,在网络安全政策面前,人们通常会选择性地不作为或不当行为。从这一角度看,组织仍有责任向个人适当通报风险,并加强合规意识,由此,将网络安全政策纳入员工安全意识教育培训活动是前所未有的重要。

在竞争白热化的商业领域,很多公司会制定网络安全政策,并借助惩戒措施来强制执行,我们不否认这种无奈的作法有一定的积极效力,但是也不能否认其对员工归属感和工作积极性的打击。

如果强制执行不是一条清晰的道路,那么如何改变组织中的安全文化?安全文化的重点是期望、自我驱动的行为,更多的是承认责任,并积极努力提高安全性。

阿里巴巴企业文化官说过,安全文化可能是安全领域真正进步的关键。如果一个组织中的所有人都支持并考虑安全性,那么工作就可以依靠自己,并超出最初架构师的预期。此外,安全文化是自我维持的,将在不需要协调一致和人为的感情努力的情况下向外推进。

当然,要建立持续正向的安全文化,仍然需要不断进行安全意识宣教活动,进而让安全政策的精要内容深入到全体员工的血脉和头脑之中,成为企业成功的文化基因。

如果您对本文的观点有所赞同或者有自己想说的,欢迎联系我们,一起交流探讨,更欢迎与我们洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898