分析安全心理进而引导员工参与安全

如果我们可以在全国甚至全球范围内为网络安全做一件事情,那就是教育数十亿互联网用户,帮助他们应对每天面临的安全威胁。——昆明亭长朗然科技有限公司网络安全培训师董志军

信息安全人为因素分析

一项国外调查表明,99%的受访员工表示至少有一项行动可能严重威胁其公司的网络安全,原因在于他们更偏好于个人便利而不是企业安全。而对于深受道家“灵活应变”文化影响的中国人,相信更会为了达到自己的目的,而刻意忽视和躲避企业信息安全要求。

最近勒索病毒的暴发引起全球关注,探究蠕虫、病毒和勒索软件的攻击原理,网络安全专业人士都知道其实防范起来并不难。做好提前预防,及时更新系统,打上安全漏洞补丁,便会最大限度地免于感染。说到漏洞修复,从技术层面来讲,默认情况下,很多计算设备都会自动下载漏洞补丁;从流程层面讲,很多公司也都有成熟的漏洞管理工作流程。而为什么在漏洞补丁已经发布了很久之后,仍然有很多系统未能及时修补呢?昆明亭长朗然科技有限公司网络安全培训师董志军说:People,Process,Technology,说完技术和流程,接下来,我们要从人员层面上来讲一讲。如果说二十年前,多数人不懂修复计算机安全漏洞的道理,这可以理解。可是,经历过一次又一次安全事故后,人们仍然不明白修复漏洞的重要性吗?我认为,肯定有人不明白,也肯定有人明白却不去做。

员工们的信息安全心理

让我们结合漏洞修复例子,分析如下几种常见的员工信息安全错误心理。

一、员工们可能会觉得计算机设备是公司的,计算机安全当然也就是IT部门的事情,和自己没什么关系,机器坏了让IT人员来修就行了。这种置身事外的心理,使得员工们没有一点信息安全方面的责任感和上进心。他们不关心信息安全,当然就不会去想信息安全,于是就不懂如应该及时修复安全漏洞等信息安全基本要义。

二、员工们在进行计算机工作任务时,通常会忽略安全更新相关提醒,认为以前怎么使用计算机,以后也可以一直保持同样的使用,不希望被计算机安全相关的问题打扰。他们不知道世界在变,不知道被新发现出来的安全漏洞如果得不到及时修复,会更容易感染恶意软件,进而影响到计算机的正常运行,这种信息安全认知的偏差通常源自于保守,也和安全意识教育的普及不足有关。

三、员工们都有既定的工作目标,如安全更新这些额外的工作,他们即使知道有必要去做,但不想去做。或许是不想浪费打补丁的时间,或许就是懒惰,不管如何,打补丁的紧要性是最低的,能拖就拖。

四、员工们已经习惯了那些常规的工作,在熟悉的舒适区内,有的员工拒绝升级系统,从不更新安全补丁甚至关闭Windows Update。他们担心安装安全补丁会影响正常的计算机使用,会让自己陷入麻烦,这是典型的拒绝改变的心理。

信息安全心理纠偏行动

了解了员工们常有的几种错误信息安全心理,我们可以采取针对性的纠偏策略。

首先,我们要建立信息安全人人有责的责任感,让员工们深刻理解到自己所担负的信息安全职责,这样他们觉得保障信息安全也是自己工作的份内事儿,自然就会开始关心信息安全了。针对部门管理者,还要让其担负起本部门的信息安全职责。

其次,我们要对员工们进行必要的信息安全知识科普,让员工们在信息安全素养方面变得“开化”和“文明”,必须把普及性的知识内容传递给他们。切记信息安全知识要正确的平实的,拒绝错误的忽悠型的。

接着,我们得强化信息安全重要性的宣教,让员工们知道从漏洞信息的公开到漏洞被广泛利用的时间正在缩短,网络威胁可能会在几秒钟内对企业造成严重破坏。保障信息安全,应对网络威胁成功的关键在于抢时间。当员工们知晓了这一点之后,就会知道轻重缓急,会严肃对待信息安全,及时采取必要的行动。

最后,防止员工们抵制信息安全措施,加强安全相关的技术监控和检查力度,对没有采用正确措施的行为人员加强教育,落实和追究安全责任。在技术支持上加强保障,打消他们的使用顾虑,鼓励尝试变革,建立其与信息安全团队间的互信。

我们对员工们的信息安全心理进行纠偏的同时,也是在鼓励其参与信息安全并为其赋能。昆明亭长朗然公司董志军称:安全是一个过程,而不是目的地。您可以部署各种流行和领先的网络安全技术并遵从业界最佳操作标准,但最大的风险是不让您的员工参与网络风险的应对。

鼓励员工参与信息安全并为其赋能将构成一个强大的无敌组合。建立长期和持久的信息安全文化,需要我们建立全面的信息安全文化教育培训体系,并不断改进。

总结

人是网络发展的基本动力,也是网络系统的主体用户,以及信息安全的第一道防线。网络安全要面向用户,要提升员工们的信息安全兴趣,要启发员工们的安全觉悟和正确态度,就要多多引导员工们参与信息安全,进而建立信息安全人人有责、层层负责的管理体制。开展多层次、多方位的信息网络安全宣传和培训,增强用户安全防范意识和能力,当员工们的信息安全素质提高了,公司信息网络的安全才有保障。

提升全体国民的网络安全意识,强化客户员工的信息安全防御能力,是昆明亭长朗然科技有限公司的专业工作,我们全力以赴,以求做到最好。如果您有这方面的需求或兴趣,欢迎您联系我们,洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

如何强化网络防御能力

强化网络防御能力的缘由

近年来,各级党委政府大力推进网络安全和网络信息保护工作,根据人大执法检查情况看,《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》的实施情况不够理想,尽管相关部门做了不少普法教育工作、关停关闭了大量的违法网站和违法违规账号、消除了大量的违规信息、抓获和审理了大量的个人信息犯罪人及案件。

在国力如此强盛之际,维护网络安全方面的困难和问题何在呢?首先,很多地方政府和部门领导干部没有充分认识到网络安全的重要性,或者只是停留在口头重视,内心不当回事儿。其次,社会大众的网络安全意识不强,许多人缺乏网络安全意识,对网络安全“知其然不知其所以然”。

国家层面如此,国家的一个组成单位——公司也是如此。公司领导没能将网络安全工作列入重要议程,员工们的信息安全意识薄弱,进而导致网络安全风险不断凸显,信息安全事故频频发生。

在一次业界知名的信息安全研讨会上,得知不少中央级别的单位也感染了Wannacry勒索软件,昆明亭长朗然科技有限公司的网络安全政策研究员董志军与多家中央部委和中央企业的网络安全负责人谈论起Wannacry的教训。经过短暂的沟通,大家得出一致的结论:在对信息系统进行安全加固的同时,也应员工队伍的意识进行安全加固。

的确,不管是国家层面的捍卫国家网络空间主权,还是公司层面的应对勒索软件保护数据安全,组织都必须拥有足够的网络防御能力,组织内所有人员都拥有也必须担负起更好地管理我们的网络风险的责任,毕竟,所有人员都存取着一定量的信息数据。

当我们谈到“安全加固”人员队伍的时候,切记并非仅仅一个安全技术术语。我们需要力推,让全员都了解我们所面临的网络安全风险,进而使用安全常识和最佳实践,来更好地保护我们的信息。在理想的情况下,全员甚至全国公民都拥有了足够的网络防御能力,自然就不会有网络犯罪分子,网络空间也会更加太平清朗。

强化网络防御能力的现状

党和政府多年来一直在大力提倡网络安全,也一直开展多项网络安全宣传活动,试图让社会大众更加了解网络安全知识和掌握网络安全技能。这种出发点不错,但效果似乎并不理想。董志军表示:一方面,网络安全宣传活动如网络安全宣传周的重点只覆盖了少数几个主要城市,剩下几百城市那些活动都是有些迫不得已的,领导们走走过场,搭个台读读稿,找些群众拍拍照,秀一下就完工散场了。另一方面,方式方法也不够好,大街上贴海报、报刊上发文章、电视上播视频,在这碎片化和新媒体的传播时代,效果是肯定不行的啊。

坦率地说,这种老套的做法,很差劲,主要原因在于受众觉得置身事外,不去主动关心。再看宣传方,不少地方的党和政府搞针对社会大众的网络安全宣教活动,在衡量绩效方面,往往拿印刷品数量,展板数量,投入宣教人员数目来说事儿,这显然不大准确和合适。

于是,在国家层面提升国民的网络安全素养,加固网络安全意识,虽然是个大盘子,但是绝不会成为某个官员的首要工作,这项小工作做不好似乎也是合情合理的。然而,对于一家公司来讲,对信息安全管理负责人,特别是员工信息安全教育培训负责人,这就是重要工作了。如何做才有效呢?昆明亭长朗然公司董志军说:挂展板、推漫画、发期刊、放视频等手法不是没有效果,而是效果取决于宣传物的设计水准以及受众的参与度。在文化市场上,我们可以看到,同样是作品,有的就很受大众欢迎,有的只能被少数人喜欢,有的则无人问津。有的人能被动参与学习,有的人可以自发学习,问题是能自发自学的人是少之又少。

考试是初级也是必须的手段

管理大师彼得杜拉克说过:没有衡量,就没有管理。只有我们能够衡量人员队伍的“安全加固”工作成效,方才是找到了正确的方法。考试是最常用的衡量手段,虽然常被人诟病,但经过千来年被证明有效且还算公平。对员工进行信息安全水平测试,是初级的,也是必须的网络安全防御能力提升手段。职场人士都是经过枪林弹雨考过来的,职场中再考一考,也是不错的。要通过考试,总得要学习吧?这就给员工以学习信息安全的压力和动力。同时,为了避免应试教育,我们可以限定时间线上答题,使用海量题目,从中随机挑选,以减少作弊的情况。同时可以考虑增加线下的信息安全心得论述,以启发学员对信息安全的思考。

更进一步增强防御实力的招数

尽管考试能促进受众学习网络安全的动力,但它的主攻方向还是检验成效,缺乏系统的网络安全知识,所以仅靠考试不够全面。采取基于线上学习的信息安全意识培训计划,是一个较为完备的网络防御能力提升方案。要发起一个大型的安全意识培训计划,线上学习无疑是最为经济和有效的了,因为线上学习不受时空限制,学员可以随时随地参加线上学习和参与教学互动。在课程方面可以尽可能全面,要避免枯燥乏味,普通的纯知识讲解式教程可能会让学员打盹,使用案例式、情景式的培训最为有效。通常来讲,需要由高层领导定下了基调,可以请CEO、CIO或CSO录制一些讲话视频,以示对信息安全的重视,同时提出对线上学习的要求。一个重点是,必须要求各级领导层参加这个培训和练习,领导支持并以身作则地提升网络安全素养,下属们才会效仿,带来的人员“安全加固”回报是巨大的。

创新玩儿法带来防御力提升高潮

我们发现那些进行创新网络安全训练的组织,往往在各种网络安全赛事中取胜,这不仅仅限于网络安全技术方面的挑战,而且包括针对全员的安全水平测试情况。董志军说:这些创新玩儿法包括但并不限于模拟网络钓鱼、互动式的教学游戏,以及基于网络安全事件的演习等等。因为在教育培训方面,“体验式”和“参与式”的效果是公认最好的,也是效果最持久的。如果我们模拟一些内部和外部的网络安全威胁,利用一些成熟的网络钓鱼架构,发起模拟的鱼叉式网络钓鱼事件,那会大大增强网络安全培养活动的趣味性,积极调动全体人员的积极性。创新玩儿法就是在这些平台上,开动大脑,基于现实,创造一个个安全场景,并通过安全场景,来达成互动式教育,在互动式教育中成长变强的过程。记住,安全团队与全体职员是一种伙伴关系,在模拟、游戏和演习等活动过程中要多鼓励、多反思,而不是批评责怪。即使用户在网络安全方面表现非常糟糕,也应该不忘使用幽默的方式,营造开心和轻松的氛围。

学以致用通过检查来确保执行

当人们知晓了某个道理,拥有了某种能力,就应该使用起来,并不断强化。强化网络安全防御能力的过程也是防止弱化的过程,我们的经验是每月或季度实施一次全面的办公室安全检查计划,全面检查包括高阶领导们在内的所有员工的办公桌安全。看一看是否有随意放置重要信息资产,是否有违反计算机安全政策要求离开座位时未锁屏,网络安全软件工具是否都启用并且获得了更新,打印机或垃圾桶中是否有敏感文件等。安全大检查的报告及时呈给董事会及各部门高管,这样,我们就知道有哪些高价值高风险的信息,有哪些网络安全防范方面的弱点,有哪些需要改进的地方。同时,让受检查的员工们知道需要保护什么信息,以及如何保护这些信息。对此,董志军补充说:其实,这也就是典型的办公桌清洁政策,Clean Desk Policy,当然,重点是在是否获得强制执行。

强化防御实力活动的教训和反思

您可以给受众发一份信息安全手册,让其去阅读。但是不要指望人们能花足够的时间在上面,更不要期望人们能理解其中的内容,并去自觉地遵守。这不是文化品缺乏的年代,而相反,是信息过度的时代。要让员工们了解网络安全的利害,必须强制参加学习以提升网络安全防御能力。如果安全部门的力量不够强势,那必须得借助高层的力量来解决。发起一项宣教行动容易,要衡量效果,并不断改进,就需要很多跟进的工作。

记住,网络安全人力加固不是一朝一夕的事情,这是一个不间断的养育过程。综合使用安全测试、线上培训、网络钓鱼、互动游戏和情景式演习,是增强网络安全防御实力的最佳做法,您还应该至少每年进行一次。将月度或季度的桌面安全检查融入到员工们的日常工作之中,是学以致用、并不断保持这种网络安全防御力的必要措施。

更多的关于网络防御能力的补充

我们不奢望全民或全员都像网络安全专业人员一样,拥有强大的防御能力,但至少为保障其工作所需的最少的防御能力还是要有的。还需要用户知晓,如果发生网络安全事故,而自己没有能力应对,则应及时打电话给正确的联系人,以寻求帮助。话说回来,知道什么时候提前打电话给谁,在坏事发生之前,能够报告给安全应急响应团队,也是网络安全防御能力的一部分。

在未来的几年里,所有的党和政府官员,全体国民大众,以及公司职员都必须知道,为什么要重视网络安全,该怎么在工作中实践网络安全。这一前提是“安全加固”人员队伍,让人们拥有足够的网络防御能力。

提升全体国民的网络安全意识,强化客户员工的信息安全防御能力,是昆明亭长朗然科技有限公司的专业工作,我们全力以赴,以求做到最好。如果您有这方面的需求或兴趣,欢迎您联系我们,洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898