树立正确的安全事故观

proper-attitude-of-safety-incidents-zero-incidents

今天,安全无疑不是不件小事。今天,不管您切换至哪个新闻频道,您几乎无法逃避安全事故相关的新闻。在血淋淋的安全事故面前,我们如何吸取安全教训,化安全教训为安全能力,为安全动力呢?

您可能会戏谑说:天天都是安全事故,我早已经麻木了。或者说:我的安全知识技能够高了,那些出事的都是些蠢货和傻冒。毕竟,在这种信息轮番轰炸下,人们会变得神经疲劳,所以,有这两种观点都是可以理解的。但是理解归理解,我们还是要有正确的安全事故观。

您可能会说:很多安全事故和我从事的行业没有什么关系,自己可能一辈子都不会碰到这种安全事故。这明显是“事不关己,高高挂起。”的态度,的确,我们不能否认,某些安全事故只会发生在特定行业或特定的场所,根本不可能在我们的工作和生活环境中发生。但是,即使是“八竿子都打不着”的安全事故,究其根本原因,也必然具有它们的普适性。我们如果不去主动了解这些安全事故的根本原因,不去吸纳血换来的安全教训,那我们早晚还会犯同样的或类似的错误,酿造属于自己环境内部的安全事故是迟早的事儿了。如此一来,我们人类这一自称是灵长类的高级动物,和普通动物没什么区别呢?

安全事故太多,根本原因是我们没有足够深入地分析事故的根本原因;或者我们找到了真正的根本原因,却没有足够有效的解决之道;或者我们找到了正确的起因和解决之道,但是却没能落实好类似事故再次发生的安全补救和防范措施。

话说到这个层面,如何正确应对安全事故,相信不需要更多的解释。昆明亭长朗然科技有限公司安全事故响应与应对顾问董志军说:仅仅应急、维稳、抢险、善后并不足够,吸取教训,防范类似事故再次发生,才是安全管理工作取得进步的重要步骤。

对各行行业,各个部门,都需要树立正确的安全事故观。其实不管您是IT安全、区域安全、生产安全、财产安全、业务风险、国家安全、公共安全、网络安全、经济安全等,都属于“大安全”的范畴,都会遇到各式各样的安全事件(事故)。既然同属“大安全”范畴,当然都可以互相研究和学习,毕竟安全事故的起因分析和改进教训多是通用的或公认。

说了半天,到底安全事故的根本原因和经验教训在哪儿?昆明亭长朗然科技有限公司出台了系列安全事件(事故)教程,不仅详解了安全事件(事故)是什么,更能让人们了解如何识别安全事故、如何报告安全事故、如何进行正确而及时的响应……

不管您对本文有什么疑问或观点,还是对我们的产品和服务有兴趣,想预览一眼或体验一下,都欢迎随时联系我们,洽谈进一步的业务合作。或者如果您只是来电来信聊一聊,也都是很欢迎的。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

再谈安全意识教育

公司是否应该花钱对员工们进行安全意识培训呢?在信息安全业界,尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性,但是仍然不时有极个别的反对声音,认为对最终用户进行安全培训是在浪费时间,而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先,我们谈一件安全投资是否有必要,得有一个预期的收益,也需拿出可以进行衡量的可行性标准,并据此测量安全投入是否达到了最初的设想目标,即所谓的安全投资回报ROI。不过,在广泛的计算机网络信息安全领域,尚无可以借鉴的广为接受的投资回报算法,因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域,有些计算公式,类似风险=漏洞*威胁*影响*概率之类的公式,不过这些也只是停在安全理论层面,根本不能被最佳信息安全实践操作所理会和采纳,所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此,否定对员工们进行安全意识培训的必要性,明显是站不住脚的,就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次,对安全意识培训持反对意见者可能会质疑安全意识培训的成效,的确安全意识培训不像安装配置企业防火墙一样,设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员,而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者,简直就如同在地上画个圈,让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任,信息安全意识培训本身只是一种安全理念和技能的沟通方式,即使主动发布信息的一方,通常是安全意识培训讲师发出了正确的安全讯息,安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败,而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙,规则配置上却缺乏适当的安全策略标准指引,或者防火墙管理员偷懒,随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效,比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况,通常经过培训之后员工们对信息安全的认知都会有所提升。

再者,安全意识培训的反对者会认为安全意识很难影响安全行为,的确,人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说:几乎所有的城镇人口都会从小就被教育遵守交通规则,但是仍然随处可见闯红灯和穿越马路的情景,我们能否认说交通安全意识教育不能改变交通安全行为么?当然不能,违反交通安全规则的自有他们的“道理”,比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是,这些人在违反交通安全规则的时候,多数知道自己的行为是在违反,假想我们不教育人们遵守安全交规,那世界会混乱成什么样子?要让安全意识和安全行为有效关联起来,需要的是激励措施,奖励积极向上的安全行为,处罚恶劣的不安全行为,自然而然便能建立起“知行合一”的安全合规文化,但看新交规实施以来的威慑作用便知一二。

最后,安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果,说这些的往往是些急于推销安全技术产品的厂商,我们不排除很多安全问题可以通过形形色色的技术控管方式来解决,比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用,它们要发挥效用的最大假设前提是人们的理解和支持,不通过安全意识培训,如何获得理解和支持呢?此外,老人们常说“淹死的人通常都是会游泳的”,不屑于安全意识提升的技术专家们,冒险精神可嘉,但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

secure-your-employee