勿让新员工成为信息安全短板

近几年各类型组织机构在信息安全管理上多少都有些作为,这是不能否认的事实,其中包括部署和实施各类安全控管措施如最基础的防火墙系统和补丁修复管理流程等等。然而也不能否认的是:这些安全控管措施的受影响者、使用者和管控者都是员工,只有员工们对安全控管措施的认知要达到了一定的水平,方能理解和接受信息安全控管措施的目标、战略和方法,进而使其日常的安全行为选择与业务目标和战略保持一致。

新员工的加入或者老员工的流失都可能增加信息安全风险,无疑也会给传统的以技术为主的安全控管措施带来新的挑战。不断增长的网络钓鱼诈骗、社交工程攻击,加之移动互联网与社交网络向企业应用的日益渗透,让安全管理层开始思考和强化员工层面的安全意识教育。

CNNIC发布的最新一期《中国互联网络发展状况统计报告》显示:手机上网的比例保持较快增速,网民多在家中上网,提供公共上网设施的场所使用率逐年下降。而中小企业中,使用计算机办公的比例为91.3%,使用互联网办公的比例为78.5%。这无疑在提醒各类组织的安全管理负责人员——信息化的成功已经越来越和终端用户的安全使用密切相关。

特别是在新员工方面,公司需要使用更加全面和完整的战略方法,来向员工们沟通安全策略、标准和工作流程,来教育培训员工们遵守关键的信息安全规章制度。昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:传统的基于邮件的安全通报或纸质的印刷品显然缺乏足够的互动,而且容易被员工们忽略,更难以衡量其有效性。

摆在我们面前的关键问题是:有多少员工真正了解公司的安全政策呢?他们知晓哪些是信息安全策略允许的,哪些是信息安全策略禁止的,以及安全策略为什么这样要求吗?

亭长朗然公司的Alice称:多数的安全事故的起因都和内部员工的安全意识薄弱密切相关,如果员工们正确对待信息安全策略,并且持续执行必要的安全流程,多数的信息安全事故可以得到避免。

传统的邮件通报和纸质文档对于改进员工安全意识的效果不够理想,课堂式安全培训又比较耗费时间和人力,而在信息时代,通过电子学习方式来进行信息安全意识教育无疑是更有效的,也更经济实惠和方便管理的。

安全意识电子学习可以提供员工学习进度的良好监控,也容易及时通过测试来衡量员工的学习效果,更能向审计和监察机构证明安全意识培训工作得到了必要的开展。

此外,调查表明,除了新员工容易违反公司的信息安全方针政策之外,老员工也容易疏忽大意导致安全事故的发生并且给公司带来更大的伤害,所以针对老员工的安全意识刷新也是很有必要的。

亭长朗然公司提供标准的信息安全意识在线学习课程以及在线学习平台的搭建服务,也提供量身定制的安全意识培训课件开发制作服务,可以让客户以最小的投资获得最大的安全回报。

勿让新员工成为信息安全短板,需从新员工安全意识教育培训抓起。

security-shortfall

如何让员工发挥信息安全正能量

security-positive-attitude
前几天和一位国外安全专家谈起棱镜事件,对方披露了美国政府对此事件的总结,让人颇受启发:仅仅需要一名职员,便可在瞬间瓦解整个国家的安全体系,甚至信誉。细想想,貌似我们常言“一颗老鼠屎,坏一锅汤”。的确如此,能与美国抗衡的欧盟和俄罗斯纷纷指责美国的监控,美国老大虽然我行我素,但是在全球市场却开始处处受制于当地的隐私保护法律。

我们不讨论Anonymous黑客组织以及Snowden先生到底是正义还是邪恶的力量,我们只在小的范围内来看,比如将焦点放在一家公司。昆明亭长朗然科技有限公司James Dong说:无疑一名员工也可以瞬间让公司的安全投入打水漂,进而让公司名誉扫地。特别是对公司不满意的高管或掌握着敏感信息的人员,他们的杀伤力强的惊人。当然,随便一位正常的普通员工,也可能有意无意给公司的信息安全管理工作减分——在办公室、在路上或者在家里。

专家们称有将近75%的安全事件源自“内部人员”,例如那些未经培训的员工随意下载敏感文件到便携式个人设备,进而带出公司……或者一名员工将家中感染了病毒的笔记本电脑带到公司……或者在出差途中将工作用的智能计算终端接入到不安全的无线网络……

尽管大多数由内部人员引发的安全事故并非有意而为,可能只是一个错误的决定,比如创建了不恰当的脆弱密码并将它们告知了他人、好奇地访问了不良网站或点击了可疑邮件附件……一名员工如此这般的错误决定让信息安全总成绩被减一分,两名员工如此,又被减一分,更多员工如此,被减更多分,相当大一部分员工也是如此,那就会让信息安全水平创下历史的新低。尽管公司有巨大的财力投入在安全硬件和软件之上,那也无济于事,因为大部分安全事件源自于安全最薄弱的环节——人员。

而人员是最神奇的,可以给信息安全带来负分,也能给信息安全带来正能量,如何让员工们发挥信息安全正能量呢?无疑需要强化员工们的信息安全认知水平和信息安全敏感度。昆明亭长朗然科技有限公司致力到帮助各类型的组织机构搭建信息安全管理的“peopleware”,通过让“人心安全 Secure My Mind ”,建立一道信息安全资产管理的第一道防线,进而获得“我行安全 Secure My Behavior”。

我们的信息安全意识教育解决方案可以向员工们提供必要的工具和内容资源,让员工们发挥出积极的信息安全正能量。