信息安全意识教育手段大比拼

security-awareness-solution

信息安全不仅仅是安装防火墙设备和防病毒软件那么单纯,有国际通用的信息安全管理体系标准可以参考,而在大量信息安全控管目标和流程之中,信息安全意识越来越受到重视。

不过尽管针对全员的安全意识教育越来越被安全管理团队视为解决最终用户端安全问题的重要法宝,然而一提到信息安全意识,人们第一反应可能就是在培训教室里上课,学习那些枯燥的可能和自己毫不相关的PPT。

有道行极高的安全意识培训讲师可能在活跃课堂气氛的同时,也给学员们灌输一些信息安全相关的基础知识、规章制度和工作流程。大多数讲师都会很负责地在课堂教学中把安全的基础知识详细讲解给学员听,包括安全相关的策略、流程以及些许安全基础技术和安全工具。这种传统的安全意识教育方法很朴实,被各类组织机构广泛地使用着。

课堂教学有它的优势便是面对面沟通,更为人性化,也有较强的互动性和高效率。不过,课堂式培训也有它的弱项,便是不够灵活机动,受制于时间和空间的限制。通常不会随时开办安全培训课程,而是每周或每月在固定的课堂教室召开一次,此外,课堂教学还需要合格的讲师、教材等等系列资源。

课堂式安全培训的高效以高昂的成本花费为代价,因为公司不得不投入适当的人力和时间在安全培训之上,通常一名讲师可以与少于20名学员进行有效的学习互动,而每次这些互动的重复都以同样的花费为代价。过多的学员可能会令教学质量打折扣,而安全讲师在进行多次重复性例行培训后可能会由于疲惫松懈而让效果下降。

通过课堂教学方式来进行安全更适合信息化程度不够高的公司,这类公司的信息安全体系建设也处于初级水平,员工们在日常工作中可能较少甚至不会操作计算机。比如对传统的生产线员工进行的安全生产培训,使用这种方式比较有效,因为可以直接拉员工到生产现场,现身模拟实践操作。

对于高危岗位的员工们来说,课堂式安全教学培训正合其意。昆明亭长朗然科技有限公司的安全培训顾问James Dong说:对于大量会电脑操作的办公室人员来讲,课堂式教学显然不够灵活机动。那么,适宜办公室员工们的信息安全学习方式是什么呢?当然是基于电脑的培训或电子教学方式,因为办公室员工们多数会操作电脑,并且可能期望有更灵活的学习时间。

对于有异地分支机构的公司来讲,基于电脑的培训或电子教学方式特别适合会操作电脑的员工,好处不仅是给员工们自由学习的时间,更不受空间限制,还可节省不少的差旅费用开支。

在信息安全意识培训中使用电子学习e-Learning是必然的趋势,因为对于大型的公司来讲,使用基于电脑的安全意识培训会使得学习成本相对低廉,并且能够非常快速地在大范围内实施培训,易操作,及时通过在线信息安全学习系统进行相关知识和技能的测试,可以快速衡量学习成效并为改进绩效提供支援。

如果说e-Learning可以让会电脑操作的员工自由自在学习安全知识和提升安全技能,那信息安全海报、宣传彩页、邮件、壁纸、屏保程序和员工手册等等都是一些辅助的安全意识教育手段了,毕竟它们没有e-Learning方式那么高效,特别是对于会操作电脑而且日常工作需要用到电脑的用户,纸质的宣传文档可能并不受到青睐。

在众多信息安全意识教育手段之后,我们要特别提及新员工培训和年度安全意识更新,员工入职培训的内容往往很多,安全培训只是其中的一小块儿,尽管入职培训异常重要,而且多数采用课堂教学方式,效果自然非常显著,但是安全意识与行为密切相关,安全培训的目标是希望员工们将正确的安全理念应用到实际的工作之中。显然新员工入职培训中,安全意识不可能替代业务流程相关的培训而成为学员的核心学习内容,此外海量的信息让学员难以在短短几天培训活动中完全吸收,再加之日后会慢慢遗忘,所以我们建议新员工培训使用课堂教学与线上学习两种方式相结合。

而也正是因为人们容易遗忘一些安全知识,并且安全课程内容也会根据公司的安全环境及安全威胁的演变而不断改进,自然而然地会要求定期对老员工们进行信息安全意识的刷新。安全意识刷新的频率可能是一年或半年,也可能是一季度或一月,通常针对全员大型安全意识刷新可以一年进行一次,内容也很全面,尽可能包含信息安全相关的方方面面。而每月或每季度的安全刷新可以选择特定的部门群体或特定的安全主题而进行。

总的来说,信息安全意识教育手段很多,甚至可以使用安全意识视频、安全意识挑战赛和安全互动游戏等等,实际上这些都可以整合起来,用于课堂教学和线上电子学习e-Learning课程之中。

必须教会员工的三项安全技术

在办公室里转悠一下,您会发现大部分人在电脑面前忙忙碌碌。当然如果您的公司有远程工作的,您可以想像出员工们在家里、在路上、在酒店、在客户、供应商或合作伙伴场所工作的情形——他们手持笔记本电脑、平板设备或智能手机,在展示、处理或传输着重要的信息。

不管您是否意识到这些,事实是员工们而并非仅仅是安全团队在保护着公司应对着诸如黑客攻击之类的信息安全事件。

您和您的IT安全专业团队可以配备最领先的安全创新科技,但是如果您公司的员工们如果不去正确应用这些创新技术,不去实施最佳计算机安全实践,事态可能远远比您想像那么严重。

各类组织机构的战略远景和目标各不相同,专业IT成员和安全团队的数量也大相径庭,所以需要让员工们理解如何保护信息数据的安全,并且采取正确的安全行动,因为组织机构以及各种重要的数据值得这样去做。

为了确保您的公司能够应对业务所面临的基本的安全威胁,您的员工们至少应该具备基础的信息安全能力,而安全防范能力不是天生就有的,公司信息技术和安全部门应该通过教育手段来帮助员工获取这些能力。

尽管安全是一个博弈的过程,在面对无比厉害的黑客高手之时,几乎没有任何组织可以完全避开,不过通常的业务不会令普通的公司成为黑客的攻击目标。所以呢,只要员工们的安全能力能够粗略地应对大众化的黑客和病毒袭击,紧跟或超越业界最佳实践水平,便在正确的方向,能够满足保障业务安全的需求。所以,在安全技能的培训内容方面,我们建议您也不需要一口吃个胖子,抓出重点几条内容,强化模拟场景式的训练,方可获得最佳效果。

如下是我们根据多年的经验和对安全现状及趋势的分析和理解,整理出来的三条员工必备之、主管必训之安全技能:

一、小心无线网络连接

无线网络接入是远程工作员工们的最爱,但是公共的无线热点也可能是网络犯罪分子的陷阱网络接入点,因为它们通常对数据、邮件、密码以及其它通过它传输的敏感信息并不进行加密。

所以,我们应该教育员工们这一点,并且告知他们在陌生地点遇见陌生WIFI信号时,应该向权威机构进行合法WIFI的确认。如果没有选择只能使用公开的无线热点之时,应该启用个人防火墙和关闭文件共享服务,以防止攻击者连接到无线终端设备并进行进一步的渗透攻击。

更重要的一点是要保障数据通讯的安全,想让移动工作员工使用加密的通讯,只需简单告知他们在连接WIFI之后立即启用安全的网络连接,如起用虚拟专用网络VPN。VPN技术和产品已经非常成熟,如果您的公司还没有启用VPN,那么则应该立即行动起来,采购和部署从几百块到几万块不等的VPN设备,或者在云计算时代,如果您的公司并没有理想的互联网接入线路,您也可以考虑租用商业化的公共互联网安全服务,这些服务不仅包含VPN,也包含防病毒、防网络黑客、防数据泄露、在线数据存储和分享等等。

二、负责任地使用电子邮件

网络犯罪分子和垃圾虫们在通过邮件帐户攻击最终用户方面越来越老道,恶意的信息窃贼总是尝试让邮件接收人通过种种方式来泄漏公司和个人信息,而这些,往往都在员工们所不知晓的情况下悄然地进行。

大量商业信息通过邮件发来发去,邮件诈骗事故屡见不鲜,为了保护重要的商业信息,您需要建议员工们:
在开启邮件附件或点击邮件内相关链接之前进行必要的判断,如果比较可疑,就不要开启。
特别小心.exe之类的可执行文件,因为在开启它们之后会立即执行恶意程序。
使用复杂的邮箱密码,以防止黑客侵入邮箱并且实施犯罪活动。

三、聪明地使用智能终端设备

IT设备变得越来越移动化和消费化,这使得员工们可以轻松地在私人设备上运行工作任务,高效率的同时也带来了一些安全问题,比如为攻击者开放了新的入侵大门,所以说智能手机和平板设备等便携式移动计算终端让数据安全的管理变得更加复杂。

我们需要制定和发布适当的自带计算设备BYOD策略,以便员工们能够知道在什么时候以及如何将他们的私人移动设备用于工作事务。移动计算安全策略应该包含针对智能终端的安全指引,比如密码锁定政策、公司支持的以及不允许用于工作的终端设备(型号)、应用程序安装及管理指南、安全事件报告流程、设备跟踪以及远程数据删除建议等等。

最后,我们要补充一下,即使能够做到上述三项,并非能够保障业务安全万无一失。不过话说回来,尽管安全专家们在安全事故之后往往会说安全防范是系统化的体系工作,这并没不仅仅是借口。人人都知道事后诸葛亮算不了什么,但是我们的确需要员工们拥有更多的防范技能,不过这需要给人们时间来吸收、理解和支持。

mobile-and-wireless-security