安全意识培训搞一次远不够

security-awareness-education

专门针对全体员工进行的正式安全意识培训并不多见,但是多数组织机构都会对新员工进行或多或少的入职安全意识培训,这份工作或由IT部门,或由安全部门,或由培训部门进行,信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说:别指望通过对新员工进行的几个小时的安全意识培训,就能让员工们能记住那些安全策略和规定,并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因,而这里面,大部分都是一些无知或大意的行为,通过特定的安全技术措施,可以起到一部分的帮助作用,然而,更需要强化对员工们进行安全教育,以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然,安全意识是一种认知一种理念,某些记忆会随着时间的推移而弱化,同时,新的安全威胁却不断出现,所以针对职场新兵们的一次简单安全意识培训并不足够,系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人,或者信息安全是您的工作的一部分,您都应该关心安全培训,多数的IT人并不是很清楚信息安全的核心理念,更何况普通的用户呢?简单的问问您自己:您最近与组织或部门成员沟通信息安全问题是什么时候的事情?您觉得受众对这些安全理念的理解和接受程度如何?

如果您不能立即给出上述问题明确的答案,您需要考虑一下了。亭长朗然公司Alice说:信息安全管理人员往往会有一个认识误区,便是将几十页的员工安全手册发放给员工们进行阅读,以期望他们能够消化。显然,员工安全手册使用的是IT安全相关的专业语言,是给法务、监察或审计人员来看的,根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后,不能简单地说:你没有遵循安全相关的规定,都是你的错,你签了字,你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册,或者没能读明白,或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议,不管三七二十一,就点击“同意”一样。

不过,在法律合约层面,又需要员工签署对相关安全政策和标准的遵守承诺,所以说员工安全手册,尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时,会特别划出重要的可能引起争议的部分,这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面,还是需要更为生动的在线视频或互动式培训课程来进行,因为这些教育方式和渠道更受员工们的欢迎,也更有效。

安全意识培训,勿忘示范和激励的作用,安全是一种保障,也是一种与效率的平衡,安全方面的限制过多不行,在限制多少这个度上面扯皮更是不值得,我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律,自己却搞特权,显然说一套做一套只会引起员工们的不屑,甚至引发“只许州官放火,不许百姓点灯”的不满和抗议。

管理层从自身做起,时刻注意自己和团队的安全理念和行为,能起到积极正面的示范作用,但是这还不够,组织范围内的信息安全是一个大环境,每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量,从激励入手是最重要的。通过安全意识培训,传递明确的安全期望,特别是在对待组织内部的一些安全隐患或弱点方面,对于有安全敏感度,并且能够及时报告隐患或事故的员工们,给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果,如果一味强调对违规事实的处罚,而不考虑客观情况和主观愿望,可能会引起掩盖安全事故的行为,这显然会带来更大的损失。要教育员工安全问题可能会客观存在,特别是意外的或不小心造成的,无论如何在有怀疑或发现之时都要及时报告,以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的,则应强调和实施严厉的处罚。

综合来讲,安全意识培训是整体安全管理的一部分,安全意识培训需要持续不断地进行,更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理,降低安全事故发生的概率。

保障信息安全策略的设计开发和有效执行

各类组织机构如公司为了保护信息资产的安全,需要设计开发适当的信息安全策略(也称方针或政策),更重要的是需要将信息安全策略发布给所有员工,甚至客户以及合作伙伴。

设计开发信息安全策略仿佛很简单,国际上有成熟的标准体系、行业里也有相关的安全法规,也有些模板可以供参考和拿来进行修改,说到底,信息安全策略常常被各类组织信息中心负责人看作是繁杂的文书工作,便简单委派给文秘相关的人员。

实际上,信息安全策略远不是能交给部门秘书或文笔较好的职员能充分胜任的,最重要的原因是安全策略的制定不能脱离公司的业务环境。昆明亭长朗然科技有限公司的安全管理顾问Bob Xue说:多数国内组织机构的信息安全管理仍然很依赖“人治”的混沌水平,主要原因是领导和下属们的文档意识并不够,这和跨国公司依赖规章流程来进行信息安全管理有很大的差距。

为了应付各类信息安全管理相关的检查和审计,多数组织不得不炮制出许多临时的“信息安全手册”,包括诸如安全策略、标准、流程等等,甚至有制作出相关的“记录”和“证据”,更有下大力气召开信息安全动员会,领导挂帅发动信息安全突击项目……

多数的结果是:运动战式的信息安全突击项目往往都是短视行为,一阵风过后,领导又要忙于其它项目,似乎并也不那么在意信息安全了,下属员工们在安全自律方面也松懈了……

问题在哪里呢?亭长朗然公司的Bob说:大量的安全管理文件都是公司内部的少数人员依据标准体系或法规遵循而“闭门造车”出来的,这显然脱离实际的工作环境,容易造成“曲高和寡”,不能被多数员工们所理解。目前只有极少数的公司信息安全负责人拥有安全管理方面的智慧,他们往往会将信息安全相关的文件体系分级委派给各个不同层级的部门和岗位,由这些部门的领导主管和信息安全协调人员们根据部门和岗位的实际情况撰写适合自身的“信息安全作业流程”。

当然,信息安全负责人可能需要出台在整个公司范围内所通用的安全方针政策和标准流程,但是更多的工作却是培训和指导各部门的领导主管和信息安全协调员,要让他们了解信息安全管理的基础智能和理念,以及提供必要的安全技能培训,让他们有能力撰写出合格的“信息安全作业流程”。

在撰写“信息安全作业流程”时也有一个误区,有公司信息安全流程负责人可能会拿出固定的模板,让各部门协调人员照样子搬抄,这是偷懒、不专业也不负责的做法。的确,整个公司范围内的“信息安全作业流程”应该遵循一些标准,比如至少要有作业流程的目标、流程中人员的职责、相关的信息输入和输出、必要的流程控制点和流程本身的所有者和维护信息等等。这些都是必要的,然而,这些并不是沟通和培训的关键。

那么关键的问题何在呢?亭长朗然公司Bob说:至关重要的是要让各部门领导和信息安全协调人员了解如何真正让信息安全作业流程发挥必要的安全控管目标,比如要让真正需要得到保护和控制的信息资产被识别出来,要知晓人员如何与信息及系统进行互动。

要了解人员与信息及系统之间的互动至关重要,因为工作流程要这些信息及系统的使用者们来执行,安全作业流程同样也要让他们来遵循。

在完成了适当的信息安全管理文件体系“信息安全手册”的建设之后,重要的不是搜集执行的结果——“记录”或“证据”,因为执行信息安全作业流程的主体是人员,而不是系统,所以重要的是加强与信息安全作业流程的使用者之间的沟通。

沟通的目的当然不仅仅是让信息安全作业流程得以顺利遵照执行,还有一个目标是强化信息安全策略的效力。沟通是双向的,但受众主要是信息安全作业流程的使用者,这里面可能并不限于公司内部员工。沟通的手段无非是培训和再培训,普遍性的安全方针政策和标准流程培训可以在全公司范围内实施,由信息安全管理领导负责人来牵头进行全员信息安全意识教育比较好;关于各特定部门和岗位的独特性培训,则需由信息安全负责人与各部门领导及安全协调人员进行磋商,以便合理分配和有效利用安全培训资源。

借助对信息安全管理的深刻理解和认识,信息安全意识教育业界领导厂商昆明亭长朗然科技有限公司不仅提供普遍性的信息安全意识培训课程,更能针对每家客户的独特性而量身定制安全意识沟通课程,这些无疑能够帮助客户强化信息安全方针政策和作业流程的有效执行。

如果您有兴趣了解更多内容,欢迎联系我们获取更多详情。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898