信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故，比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光，或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实，能够引起突发性紧急信息安全事故的并不限于黑客或骇客，多数信息安全威胁都是在人们的认知范围内，除了安全事件应急响应之外，做风险评估和应对计划，业务持续性计划及灾难恢复计划时都会考虑这些。所以，出现安全事故难以完全避免，而且出现了也不会出乱子，一切尽在掌控。

可是，突发性的严重安全事故不能频频出现，否则不仅信息安全总监、经理或主管们睡不好觉，一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话，信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗？这太好笑了吧！更好笑的更刺激的更冷的是让黑客入侵了智能手机终端，偷偷拍下床头的视频并上传到互联网上……

这不是没可能，而是信息安全官带着的一批队伍的水平好过普通的入侵者，或者说安全防范措施足以应对这些安全威胁，让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全，很多互联网服务在鼓励客户使用移动终端，其实我们也看到，智能手机的出货量已经开始超越个人电脑，而且我们也亲身体验到，使用平板电脑和大屏手机处理简单的业务流程操作，要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌，安全问题也逐渐替代PC而成为信息安全官们的梦魇，而移动终端要比PC的控管难很多，因为它们可能属于员工的资产，严格区分工作和私人用途已经非常不易，并且这些设备和用户可能随时游离于传统的工作区域和内部网络，移动用户的有效身份鉴别也挑战着传统的IAM系统，更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外，大数据大集中的趋势也没让信息安全官轻松，大数据，大价值，大关联，不仅仅是终端用户，更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说，产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然，面对这些潜在的问题时，信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定，Windows蓝屏都已经很少了，PC故障排差已经不是什么IT工作了，不是么？但是IT安全的维护越来越难，为什么会这样呢？昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说：信息安全变得越来越难，主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲，黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗；从内部来看，新世代员工们更加的开放和容易轻信他人，这内外两种因素结合起来，无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时，信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉，解决之道何在？在技术控管层面，无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全，以及海量终端设备的安全。在人员管理层面，无疑需要强化内部人员以及利益相关链条的信息安全意识，让内部的信息安全素养和防范水平高过外部威胁，例如，能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴，我们专注于帮助各类型的组织管理信息安全中关于人员的风险，欢迎联系我们洽谈业务合作。

如果我们可以在全国甚至全球范围内为网络安全做一件事情，那就是教育数十亿互联网用户，帮助他们应对每天面临的安全威胁。——昆明亭长朗然科技有限公司网络安全培训师董志军

信息安全人为因素分析

一项国外调查表明，99％的受访员工表示至少有一项行动可能严重威胁其公司的网络安全，原因在于他们更偏好于个人便利而不是企业安全。而对于深受道家“灵活应变”文化影响的中国人，相信更会为了达到自己的目的，而刻意忽视和躲避企业信息安全要求。

最近勒索病毒的暴发引起全球关注，探究蠕虫、病毒和勒索软件的攻击原理，网络安全专业人士都知道其实防范起来并不难。做好提前预防，及时更新系统，打上安全漏洞补丁，便会最大限度地免于感染。说到漏洞修复，从技术层面来讲，默认情况下，很多计算设备都会自动下载漏洞补丁；从流程层面讲，很多公司也都有成熟的漏洞管理工作流程。而为什么在漏洞补丁已经发布了很久之后，仍然有很多系统未能及时修补呢？昆明亭长朗然科技有限公司网络安全培训师董志军说：People，Process，Technology，说完技术和流程，接下来，我们要从人员层面上来讲一讲。如果说二十年前，多数人不懂修复计算机安全漏洞的道理，这可以理解。可是，经历过一次又一次安全事故后，人们仍然不明白修复漏洞的重要性吗？我认为，肯定有人不明白，也肯定有人明白却不去做。

员工们的信息安全心理

让我们结合漏洞修复例子，分析如下几种常见的员工信息安全错误心理。

一、员工们可能会觉得计算机设备是公司的，计算机安全当然也就是IT部门的事情，和自己没什么关系，机器坏了让IT人员来修就行了。这种置身事外的心理，使得员工们没有一点信息安全方面的责任感和上进心。他们不关心信息安全，当然就不会去想信息安全，于是就不懂如应该及时修复安全漏洞等信息安全基本要义。

二、员工们在进行计算机工作任务时，通常会忽略安全更新相关提醒，认为以前怎么使用计算机，以后也可以一直保持同样的使用，不希望被计算机安全相关的问题打扰。他们不知道世界在变，不知道被新发现出来的安全漏洞如果得不到及时修复，会更容易感染恶意软件，进而影响到计算机的正常运行，这种信息安全认知的偏差通常源自于保守，也和安全意识教育的普及不足有关。

三、员工们都有既定的工作目标，如安全更新这些额外的工作，他们即使知道有必要去做，但不想去做。或许是不想浪费打补丁的时间，或许就是懒惰，不管如何，打补丁的紧要性是最低的，能拖就拖。

四、员工们已经习惯了那些常规的工作，在熟悉的舒适区内，有的员工拒绝升级系统，从不更新安全补丁甚至关闭Windows Update。他们担心安装安全补丁会影响正常的计算机使用，会让自己陷入麻烦，这是典型的拒绝改变的心理。

信息安全心理纠偏行动

了解了员工们常有的几种错误信息安全心理，我们可以采取针对性的纠偏策略。

首先，我们要建立信息安全人人有责的责任感，让员工们深刻理解到自己所担负的信息安全职责，这样他们觉得保障信息安全也是自己工作的份内事儿，自然就会开始关心信息安全了。针对部门管理者，还要让其担负起本部门的信息安全职责。

其次，我们要对员工们进行必要的信息安全知识科普，让员工们在信息安全素养方面变得“开化”和“文明”，必须把普及性的知识内容传递给他们。切记信息安全知识要正确的平实的，拒绝错误的忽悠型的。

接着，我们得强化信息安全重要性的宣教，让员工们知道从漏洞信息的公开到漏洞被广泛利用的时间正在缩短，网络威胁可能会在几秒钟内对企业造成严重破坏。保障信息安全，应对网络威胁成功的关键在于抢时间。当员工们知晓了这一点之后，就会知道轻重缓急，会严肃对待信息安全，及时采取必要的行动。

最后，防止员工们抵制信息安全措施，加强安全相关的技术监控和检查力度，对没有采用正确措施的行为人员加强教育，落实和追究安全责任。在技术支持上加强保障，打消他们的使用顾虑，鼓励尝试变革，建立其与信息安全团队间的互信。

我们对员工们的信息安全心理进行纠偏的同时，也是在鼓励其参与信息安全并为其赋能。昆明亭长朗然公司董志军称：安全是一个过程，而不是目的地。您可以部署各种流行和领先的网络安全技术并遵从业界最佳操作标准，但最大的风险是不让您的员工参与网络风险的应对。

鼓励员工参与信息安全并为其赋能将构成一个强大的无敌组合。建立长期和持久的信息安全文化，需要我们建立全面的信息安全文化教育培训体系，并不断改进。

总结

人是网络发展的基本动力，也是网络系统的主体用户，以及信息安全的第一道防线。网络安全要面向用户，要提升员工们的信息安全兴趣，要启发员工们的安全觉悟和正确态度，就要多多引导员工们参与信息安全，进而建立信息安全人人有责、层层负责的管理体制。开展多层次、多方位的信息网络安全宣传和培训，增强用户安全防范意识和能力，当员工们的信息安全素质提高了，公司信息网络的安全才有保障。

提升全体国民的网络安全意识，强化客户员工的信息安全防御能力，是昆明亭长朗然科技有限公司的专业工作，我们全力以赴，以求做到最好。如果您有这方面的需求或兴趣，欢迎您联系我们，洽谈业务合作。

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898