子曰:政宽则民慢,慢则纠之以猛。猛则民残,残则施之以宽。宽以济猛,猛以济宽,政是以和。
对一家企业来讲,重要、敏感甚至机密的信息无疑价值不菲,而它们又不仅仅是存放在内部计算机中的数据,而且也是多多少少会流入到主管机关、客户、供应商、合作伙伴、甚至媒体中的消息,更不用说进入员工们的大脑中的那些与工作相关的知识和技能了。因此,信息存在于多个状态多个维度之中,要控管它们,是一件难事儿,全方位的措施是必须的——除了需要必要的安全技术措施之外,就是针对人员安全防范意识的管理。
对商业领域来讲,防范竞争者取得我们那些宝贵的信息并利用它们取得竞争优势,是企业保持竞争力的一项关键措施。在我们拿起法律武器,筑起知识产权保护网的同时,也拿起了科技武器,强化了黑客入侵防范和数据外汇防范,同样,我们也应该高举“发动群众,群防群治”的智慧武器,在人员层面,防范有意或无意的信息泄露。
在这里,我们不探讨专利和商标的保护,也不讲防火墙和黑客入侵防范的部署,这些都交给法务部门和信息科技部门的专才吧!我们要说的是提升人员的信息安全意识,这不仅是一种认知,更是一种态度和一种能力。比如说,有没有人不知道电话诈骗这事儿呢?相信社会中人、职场中人很少会有,但是为何仍有那么多人会成为电话诈骗的受害者呢?这个问题就值得我们沉思。昆明亭长朗然科技有限公司董志军说:在我看来,很多受害者都有些防诈骗的社会常识,毕竟,通过大众媒体和日常社交等渠道,人们多少都会接受到一些防诈骗知识熏陶的。问题在哪里呢?在态度和能力方面,犯罪分子利用的是人性的弱点,你心虚你轻信你侥幸你贪婪,是你的人生态度不踏实,你的辨别是非能力不足够。对于受害者来讲,这话貌似有些冰冷无情,但是却是逆耳忠言。
说回到针对企业的信息安全意识,这也不仅仅是信息安全知识了,知识不多,尽管这些知识可能并不那么精确、普及、深入人心,尽管这些知识也在不断增长和变化中。更重要的是态度和能力,意识的英文单词是awareness(觉醒、觉悟、认识、自觉、觉察),它是在knowledge(知识、学问)、understanding(认识、理解)和recognition(认可、承认)之上的。
说到底,需要让员工们具备适当的信息安全意识,能够应对诸如电话诈骗、社交工程学、网络钓鱼、商业间谍等针对人性弱点的泄密窃密行动,不是仅仅靠信息安全知识灌输可以的,要通过启发思考,获得认同。只有这样,正确的信息安全态度才能深入人心,人们才能担负起从自己做起,保护信息安全防泄密的职责;也只有这样,人们才能拥有保护信息安全所需的基本能力,并不断将这种信息安全能力用于具体的工作和生活实践之中。
对改进信息安全态度和能力方面有什么建议么?昆明亭长朗然公司董志军表示:在推进信息安全意识宣传活动时,知识内容要广泛、平和,这样更易被人理解和接受。避免两个极端,一、搞一堆法律条文般的规章制度让员工读,读完了考试和签字;二、使用过于花哨、娱乐化甚至讨好员工的、内容空泛的宣传物,无孔不入的推销。在日常信息安全行为和管理方面,注意引导,让高管和中层发挥信息安全影响力,激励员工层积极向上的信息安全行为,稍稍花些奖品奖金方面的投入,就可以换取大量正向的信息安全态度和能力提升。
除了来自业务竞争的驱动力,合规和政策的驱动力也不小。近几年,国家层面越来越重视针对国民的网络信息安全意识宣教、保密意识教育以及防间谍教育,企业也开始改变以往过度注重安全技术、轻视安全制度和人员管理的状态,开始强化信息安全与保密意识培训计划,这是很大的认识方面的转变。这种转变令人欣慰,相信这都会帮助提升企业员工的保密与安全意识,以及企业的商业竞争力。
安全搞好了,公司伟大了,国民开智了,国家富强了,民族复兴指日可待呀。要搞好安全,强化人员的认知、改进人员的态度、提升人员的能力,请您联系我们洽谈合作,共建信息安全保密意识管理体系。
