美英澳诸国为啥大搞国民信息安全意识教育?

cyber-security-awareness-month
10月,美国“国家网络安全意识月”,National Cyber Security Awareness Month,再次启动,这场声势浩大的安全意识宣传活动已经进入第14个年头儿了。国防部DoD、国土安全部DHS、联邦调查局FBI、中央情报局CIA、国家安全局NSA等多个层面的安全机构和领导人员都积极参加和赞助这一活动。英国以及其历史上的殖民地国家如澳大利亚、新西兰等紧紧跟随。我们不仅有些疑问:为什么呢?在搞什么呢?在怎么弄呢?

在当今世界,美国是世界上不可质疑的头号科技霸权国家,让发展中国家又恨又爱,在网络安全上更是如此,其网络安全实力似乎也强大到能让任何一个敌对国家颤抖不已。但是为什么他们还加强对普通国民进行基本的信息安全意识宣传呢?昆明亭长朗然科技有限公司环球网络安全局势观察员James Dong说:原因一方面与美国的信息化普及度有关,美国充分利用了信息科技的优势来改变人类传统的生产和生活方式,信息安全意识教育实际上是信息化的一个关键部分。另一方面从911开始,美国在安全防范方面的投入巨大,美国国家高层认识到反恐及信息安全都需要一场全民战争,再强大的专业队伍和高科技也需获得国民的理解和支持才能充分发挥功效。

一年12个月,为何选在10月搞一个月的网络安全意识宣传呢?有人猜测是“十月革命”的原因,其实纯粹是臆测。选在10月,主要原因有二:一、对于多数组织,比如公司来讲,十月往往并非一个业务上过于忙碌的月份;对于教育行业来讲,十月往往是校园生活进入稳定时期的开端。第二个原因是过不了多久便会迎来多个西方重要节日,万圣节、感恩节、圣诞节以及元旦等等,节日期间,网络安全风险会随之升高。十月份实际上是大规模范围内进行网络安全意识宣传选的最佳月份。

“国家网络安全意识月”到底在搞些什么呢?邦洲的安全机构向国民宣传安全观念啊,宣传的东西都是比较基本的与国民日常工作和生活密切相关的安全防范知识和技能,类似我们的普法以及计生大宣传、三个代表、八荣八耻、和谐社会、科学发展观、中国梦、社会主义核心价值观、新时代中国特色社会主义思想……

信息安全意识推广月在怎么弄?我们从网络上可以看到各战略安全部门都有开设相关的栏目,提供相关的活动介绍和发布相关的资源,也有针对不同的群体如个人、家庭、教育行业及商业领域而提供的不同的内容。也有安全意识活动的主站点StaySafeOnline,并且获得了多家商业公司的资助和响应,甚至还搞了一个“Stop.Think.Connect.”的口号。

搞这个活动的成效如何呢?从社会学的层面来讲肯定有积极的效果,但我们暂时不得而知到底投入了多少,产出如何,其实这和信息安全产业面临的问题一样——很难衡量一项安全控管措施能够带来的收益。不过我们仍然看出这活动搞得很是有声有色,并且相信还会继续下去。

其实在生活中,我们都能接触到不少非IT背景的国民,人们对信息安全很担心,但是不知道如何能够获得足够的保障和信心——没有人去引导和告诉他们应该如何办。人们本可使用家庭电脑来做更多的应用,比如网上交易,但是却因为安全问题而打消,这显然让信息化进程受阻。纯粹由互联网安全公司弄出的安全软件和安全服务也不能打消人们的顾虑——恶性竞争和对人们隐私的肆意侵犯让人们痛心。

在我们的工作中仍是如此,员工们不大会关心安全问题,除非安全问题影响到他们的工作,甚至会认为信息安全不是他们的事儿,有IT专家和安全部门呢!而对安全的漠视和无知显然会让员工们成为安全管理中的最大隐患,随时可能暴发由于人为原因而引起的信息安全事故。公司不能以“私人行为”为借口将责任推给涉事员工,而涉事员工也无法以“公司无相关规定”而获得免责。

在网络信息安全基础建设的硬件上投入是无止境的,而且永远无法彻底解决关于人为安全事故的基本问题。受过良好教育培训的拥有充分安全意识的员工则可以成为获得信息安全成功的重要力量,通过信息安全意识推广活动,向国民或员工层面提供足够的信息安全知识和工具,是加强信息安全管理“软”实力的最快速最有效的途径。

近几年,全国层面的“网络安全宣传周”活动搞起来了,特别在人口众多的大城市更是丰富多彩。各地方各行业也都开始关注,想办出自己的特色,一方面可以采取中央下拨的统一的标准化宣传资源,另一方面也需要适合自身特点的宣教内容。

昆明亭长朗然科技有限公司是国内信息安全意识教育行业的领头者,借此机会向重视信息安全意识教育的各组织机构和从业人员提供免费的安全资源服务,以及商业级的专业内容设计和创作服务。过去几年,我们的作品在多个行业和省市的网络安全宣传活动中使用,反馈很积极。欢迎有需要的安全宣教负责人员和我们联系,协助客户提升员工及全社会的网络安全意识,是我们的光荣使命和神圣职责。也欢迎有兴趣有渠道的合作伙伴加入我们,使用我们的作品内容,共同为客户打造创新的网络安全宣教平台和服务。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

探讨员工安全意识培训的创新方法

信息社会来临,信息技术不断进步,改变着人们的工作和生活方式。电子邮件、网上交易、网络游戏、即时通讯,博客及社交网络等已经得到了广泛的应用,随着云计算、物联网、移动应用等等新技术的逐渐普及,信息安全问题也将越来越突出。您的组织和员工是否已经具备了应对这些信息安全问题的自我保护认知和防范本领?是否会定期更改密码?是否有定期更新操作系统和防病毒系统?是否有随意点击不明链接和打开不明附件?是否有随意连接到开放式无线网络?是否有随意向陌生人透露组织的商业机密信息?是否有在微博上发表不利于组织的言论?是否有随便填写个人资料?

我们相信这类问题可以一直问下去,而大部分的信息安全问题涉及到组织的业务成功和商业信誉,但它们不是简单地通过技术控制手段就可以轻松解决的,而更多是需要建立和提升员工的安全意识认知和自我防范观念。

组织内外相关人员的安全意识的薄弱往往是信息安全的最大隐患,而且这一项关于“人员”的弱点不像其它技术漏洞一样,它很不容易得到修复。一方面,组织内很少有员工会主动认识到自身的安全意识需要提高;另一方面,有关信息安全的议题往往比较生硬和枯燥,不当的限制条款或沟通交流容易引起人们的漠视,反感甚至消极抵抗。

这就引起一个如何进行信息安全意识推广的问题,如何让这生硬的议题变得有趣,挑动观者的心,让其主动对信息安全相关话题产生兴趣,进而主动吸收相关的信息呢?

在几十年前图书匮乏的年代,我们可以扔出类似“红宝书”的信息安全手册,强制员工背诵,进而达到灌输的目的,可是这种手段如果用在今天的年轻人身上,那将效果甚微,毕竟,他们已经习惯了更加活泼有趣的方式。

所以,我们也要以活泼有趣为出发点,规划各种推广活动,将信息安全意识包装到各类活动中,具体的活动可以是安全讲座、安全课程培训、安全周(或安全日,安全月),安全知识竞赛,安全节目表演等等,渠道可以运用时尚的微博、博客、调查、投票、抽奖等等。

安全讲座方面,可以结合组织的实际情况和当下的热门话题,选择一些安全的主题,如“3Q大战和机密信息保护”,“移动办公安全”,“防止微博泄密”等等,时间和地点的安排可以根据组织的实际情况决定,参加人员除了有兴趣的人员之外,可让每个部门或业务单元派出代表参加,这些代表应由部门经理指派,负责本部门信息安全的沟通协调和推广,当然,经理们最好是委派部门内有兴趣的人担当这一重任。

安全课程培训,则可分类两类,在这里我们针对全员甚至和组织相关联的第三方员工,所以只限制在信息安全基础,不探讨专业的信息安全认证培训和教育。

第一类是技术相关的培训,结合组织的安全架构,安全标准、操作流程和工具等,可设置如个人电脑安全基础综合课程,可从电脑密码的更改,屏保的等待时间,防病毒和个人防火墙的设置和操作,补丁的更新管理等等。

内容可以由负责终端安全的技术服务人员制作和维护,可以写出详细一步一步的操作指南和常见问题,甚至录制屏幕操作过程,配以讲解等等,记得将这些资源放到所有需要的员工都很容易找到的地方如内部IT服务网站或IT安全网站等。如果有较大的更新,也可以通知相关的员工,这样做方便有兴趣的或有需要的员工随时来访问或查询。

另外在推广方面,可以在各个部门中挑选电脑技术比较厉害的又愿意帮助他人的一线员工,加强他们的安全技术培训,以便他们能及时帮助发现和处理部门中的安全问题,以及向其部门中其他员工传授安全技术和理念。

第二类是进行安全意识的培训,结合组织的安全策略和标准,可以制作各种议题的安全意识课程,或综合全面的信息安全基础课程,课程的主题可以包括常见的话题,如社会工程学防范,邮件安全,密码安全,防网络钓鱼,社交网络安全等等。

根据组织的实际情况,可以制定培训的方式,通过课堂培训或通过电子学习。课堂培训适合规模较小的组织、以及较大规模组织的新员工入职培训;电子学习适合较大规模的组织定期进行全体员工的安全意识推广和刷新。

课堂培训针对新员工的一般时间两小时左右,针对全员的时间可酌情缩短至一小时。可以由组织内部安全人员进行讲解,或请专门的安全培训讲师,组织内部的安全人员更了解组织的实际情况,但在推广上可能也会有些阻力和难度;如果请外部讲师,得注意事前沟通组织较为关心的一些安全话题,比如此前出现的安全事故等等,以便讲师能有侧重方面的准备,和获得更好的效果,同时组织内部的安全人员也可以从外部讲师那里获得一些经验方面的指导,以及学习一些推广的技巧等等。

不过,如果您认为外面的和尚好念经,那就不全对了,除去专业讲师的收费较高不谈,大多数讲师不会允许录音或录像,而更多的精华内容在PPT或讲义中无法体现,另外课程完成之后的后期跟踪普遍较弱,而安全意识教育却是一件长期不懈的工作,所以,如果不是与组织长期合作的安全管理顾问,您不能给讲师提供的课堂培训以太高的期望。

当然,您自己可以内部开发相关的课程,以及使用内部的讲师,如果您的组织有内部的多媒体广告部门或者设计人才,可以同他们沟通。一般来讲,他们是设计制作方面的专家,但是可能对信息安全的认识不够,在和他们沟通成本花费的同时,您更要评估重要安全理念能否被创意团队很好的展现出来。记住,为了那两个小时的精彩,您可能要花上几十甚至上百倍的时间在准备工作上。

如果员工众多,选用电子学习方式无疑具有成本和效益方面的优势,如果是自己设计内容,您可以保证前期辛苦的准备工作可以被反复使用多年。当然,您也可以考虑采购信息安全意识的学习内容,导入到内部学习平台,甚至也有专业的服务提供商提供在线信息安全意识培训,能让您省去平台管理和维护的工作。电子学习的课程时间可以考虑设置半个小时左右,加上学习效果的测试,总时间可以限制在一个小时之内。

位于互联网“云”端的在线学习内容大多是多媒体格式,它们可是较耗带宽的,所以建议使用内部电子学习平台。您可以找组织中的培训部门沟通,看是否有现成的电子学习平台,是否方便导入学习内容。相信多数平台都支持导入符合标准的学习内容,当然如果没有现成的平台或有其它原因,您也可以考虑搭建一套平台,可以购买商业的学习软件系统或使用开源的系统,通过评估使用的人数和频率,简单计算硬件性能和网络吞吐的需求,一般来讲,中阶PC服务加上百兆网络环境可以应付多数大型组织,跨国或有多个大型站点的机构可以考虑在部分站点也建立学习系统。

培训和学习的需求不再劳重复罗嗦,和较宽松自由的安全讲座以及技术培训不同,我们建议强制进行组织内部全部员工的信息安全意识学习,鉴于组织的业务流程可能有很大差异,某些几乎不接触到电脑和关键信息资产的部门和岗位可以不使用电子学习,但是不能忘记为重要的供应链及合作伙伴的员工提供培训,毕竟他们也是组织业务安全的重要组成部分。

要强制推动全员参加电子学习,需要高层以及各级经理支持,经理要为所在部门或业务单元的安全负责,理所当然应该做好表率,所以可以安排经理主管们先行学习,然后再推广至大量一线员工。经理主管们要保障所在部门的信息安全,当然也要依赖下属每一位员工的安全意识和行为,所以他们应该要求下属员工积极参加学习。当然,也可以分阶段的推动,先挑选如信息技术和安全部门进行,一方面人员较熟悉,此外也可积累一些经验,方便后期的推广。另外,也要同人力资源进行沟通,争取人力资源部门支持将信息安全和员工的个人绩效相挂钩。

学习课程内容的设计除了生动活泼有趣之外,也要有很好的互动性,而且更重要是要衡量学习的效果,互动就不是单向的放视频,可以在课程中间设置防呆功能,比如设计小的问题让学习者点击鼠标或输入键值。衡量学习效果则可通过学习之后的在线考试进行,当然考试不是目的,只是手段。不过,在必须通过考试的压力下学习,效果会更好。

在技术上,学习系统可以和员工的工号或组织账号接合起来,典型的做法是使用LDAP数据库,也有不少组织使用活动目录Active Directory管理员工的账号,当然,如果无法使用集中的用户账号数据库,也可以批量导入用户名和密码,然后批量发送邮件通知员工参加,当然,也可以考虑通过组织的架构,逐级向下推动学习的进度。不过,这里面还需要各业务单元或部门的信息安全沟通协调人员进行推进。

需要给员工一些日子来自主选择学习的时间,一般可以告知从发送邮件起一个月内完成,一次测试不通过需要重新学习,直到测试通过为止。安全管理员在学习进度的跟踪上可以每周搜集和整理报告,并向各部门或业务单元的经理及协调人员发送进度和未通过的名单,以及采取必要的督促工作。如果您的目标是100%的员工100%的通过测试,您可能得在最后几天加强相关人员的联络和沟通,一般,这两个数值达到95%以上便可以接受。

对学习比较积极,对组织的安全文化有积极影响的员工和信息安全协调人员进行适当的奖励和表彰,以此来引导更多的员工关注信息安全。另外,新的安全威胁和问题会不断出现,也还需要保持员工信息安全意识的刷新,我们建议您至少每年更新一些培训内容,除了要求新入职员工学习之外,持续每年进行全员的安全意识电子学习计划。

security-awareness-e-learning如果您对信息安全意识培训计划和方案的创新有想法,欢迎您随时联系我们,一起探讨一起进步。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898