安全意识教育内容资源要“普遍”还是要“新奇”

在和一家企业信息安全培训人员谈及安全意识教育的需求、目标和战略时,对方显得无所失措,顿顿地说那些都是虚的,实实在在的就是通过招标来购买一些培训资源和服务。无疑,在这位培训人员眼中,信息安全意识培训的“需求”就是些安全培训课程、动画、测试系统之类的产品和服务。我提醒对方说这种“需求”的出发点是“买买买”,不是想要解决问题的思路,信息安全意识培训是为了提升员工的安全防范意识、来提升信息安全管理水准、来应对利用人性的种种安全威胁、来降低企业的信息安全与商业风险……

显然,这又是一家被厂商洗脑、被同行引领的“追随型”的企业,这些企业的安全意识培训“需求”就是“随大众”,“目标”就是“借助厂家提供的产品和服务,在公司中秀一秀工作”,“战略”就是“买买买”。虽然对于甲方安全培训负责人员来讲,这并没有什么大错,毕竟自己的资源有限,经验不足,而提供服务的厂商无疑更加专业。而多数厂商真正关心的是“卖卖卖”,往往并不关心这些产品在客户那里是否适用,更不会关心客户使用的如何。只要买卖达成了,产品“秀”出去了,管它绩效如何,员工有没有因此而在信息安全意识方面变得聪明,在信息安全行动方面有没有变得谨慎,谁管呢。

说到信息安全意识教育工作的“绩效”,当然“信息安全知识考评”是一个培训工作绩效的衡量手段,同时,安全意识考试也是逼迫学员积极参加学习的一种促进手段。为什么要“逼迫”学习呢?从人性上讲,世上只有极少数人会认为自己的安全意识不足,而这其中愿意花时间在安全意识的补充上的人就更少了。昆明亭长朗然科技有限公司的信息安全意识课程开发顾问董志军说:搞安全培训的都知道这个道理,所以都绞尽脑汁想吸引学员的眼球,最常见的方法就是搞一些“新奇”的作品和活动,或搞一些奖励措施。

如何能既“普遍”又“新奇”的传递安全价值观呢?毕竟针对企业员工的“信息安全意识”不是“社会主义核心价值观”,远没那么大的体量和力度。尽管在形式上,我们可以扮酷,但是在内容上,安全意识的创新性空间很有限。毕竟绝大部分安全知识内容都是具有严肃性和普遍性的,有些安全实践甚至有些枯燥乏味,比如安装启用防病毒程序这一老生常谈的安全观念。

在信息安全意识内容传递方面,想要同时做到既“普遍”又“新奇”是很难的,大部分安全意识宣传作品和活动都能做到“普遍”而不“新奇”,一次之后,再第二次第三次,这些内容就会被受众认为是“陈词滥调”,这无疑困扰着信息安全意识培训负责人。而少部分“新奇”的,又缺乏“普遍”性,也就是“有趣无料”,或者至少“料不足”。昆明亭长朗然科技有限公司董志军说:想要取得突破的安全培训负责人员很多,但是内容就那么多,创意灵感也得围绕内容来,不能天马行空偏离内容主题。尽管如此,其实也不用担心,无论如何,针对员工的安全意识培训不是为了通过大片或游戏来娱乐员工,而是来纠正员工错误的信息安全观念,来引导员工正确的信息安全行为,那些“娱乐员工”的职能,还是交给其它专职部门如工会或文体部门吧。

当明确了安全意识教育的需求和目的之后,就可以制定必要的战略和计划,在课程内容和资源方面,战略选择无非是自己动手或外包采购,对于那些业务离不开文化创意设计、宣传活动策划等类型的公司(当然这是少数),有了输入的内容原本,输出的作品和活动的形式还是自己动手更适合。对于大部分其它类的公司,比如专注于非内容和文化产品的制造业和快销业,往往往往信息安全意识相关的内容原本甚为完善,比如安全方针政策、标准制度、管理流程等等,要让它们变成输出物进而用于安全意识宣传活动中,无疑要在自己动手或外包采购两者之间进行对比评估,看自己搞划算,还是外购划算。有了战略选择,宣传计划就比较容易制定,根据业务的淡旺季和安全环境态势,以及业务单元及人员的分布,适当分期分批进行即可。

据称,80%的“普遍”元素加上20%的“新奇”元素,可构成较为完美的理想化的信息安全意识教育内容资源,包括各种宣传作品和活动方案。其实,没有那么多“新奇”元素也没什么大不了,只是每次安全意识宣传活动,不能总“炒剩饭”。即使是“普遍”性的内容,也可以稍稍换一些展示手法,就如同我们有时会重复讲自己此前说的话,但也会换一种说法,不断地来点新意,慢慢改进一样。

昆明亭长朗然科技有限公司在网络安全、信息保密、合规守法等方面出品了大量的教育培训内容素材,在战略层面,客户可以灵活选择,以更适合自身。在“普遍”和“新奇”方面,也有多种微妙的变化选择,以少许的新意“调料”,让普遍性的教育内容变得“新鲜美味”,让学员即使是温习旧知的同时,也不至于厌倦。我们有数百集动画视频、测试题及宣传画,百余部教程模块,可以随意组合搭配和选用,同时我们也有充满新意的信息安全意识宣传活动策划方案配详细脚本,稍稍修改甚至直接使用都会“创造不同”。欢迎有兴趣的客户与伙伴联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

分享几招安全意识宣教的战略战术

IT安全专员使用各种技术和工具来保护公司的重要以及敏感​​数据,但是其中最重要的安全方法,也就是安全意识培训,却经常被忽略。防病毒、防火墙和备份在IT安全领域中扮演着关键角色,但是最终,受过良好的安全教育和训练有素的员工才是帮助保护组织信息安全的核心要素。IT安全团队要避免花费无数艰苦的时间与病毒作战、填补安全性差距、正确恢复文件……对此,昆明亭长朗然科技有限公司信息安全管理体系专员董志军表示,各类型组织中的信息安全从业人员,都需要在组织范围内,对员工们进行必要的安全意识培训。当然,每年一度的PowerPoint展示仅能混混日子,是远远不足够的,如下,我们向您分享几条这方面的战略方法和战术技巧:

掌握知识是成功的一半。赋予员工们足够的安全知识永远不是坏事。信息安全团队可以开展简短的安全意识教育活动,例如通过电子邮件发送安全知识点滴,以告知员工有关勒索软件与恶意软件之类的公司安全概念,或借助餐厅的电视宣传屏,告知员工们如何识别社交工程企图的知识。员工通常会由于无知而导致违反安全的行为,因此,设置“信息安全基础入门”之类的学习课程,将大大减少由于员工人为错误而引起的安全性问题。

不要躲避阴暗的一面。确保员工重视安全的一种方法是威慑他们,尤其在不重视规则的文化圈。向员工们说明不遵守安全惯例的风险和后果,包括可能被解聘、甚至处以罚款和交由司法诉讼。在安全意识培训期间,与员工们分享公司、行业和全世界的安全案例故事,以传达不良安全实践的影响。如果不方便使用内部案例,请与您的团队分享知名机构最近发生的重大安全漏洞的故事。时刻跟踪业界安全事故,定期上网搜一搜安全违规案例,这样就可以不断积累和更新素材,在进行宣教时,就更易抓住受众的心,获得他们对安全要求的理解和认可。此外,在对团队进行安全意识教育时,可以使用可能会影响到他们个人的示例。例如员工认为自己的个人银行业务和信用卡信息可能受到威胁的话,则他们更有可能养成良好的安全习惯。

如果心存疑虑,便将其丢弃。信息安全意识培训的核心概念是告诉员工们不要打开可疑链接或下载奇怪的文件。无论您是定期发送安全意识电子邮件,还是进行线上培训课程,您都应始终重复并执行这一核心思想……不要打开奇怪的东西。告诫员工们切勿打开意外的附件或链接。这包括来源不明,甚至已经来源的奇怪附件或链接。另一个通常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘或USB存储驱动器。众所周知,USB设备价格低廉,数据窃贼会将USB设备留在公共场所,那里面装有旨在窃取信息的木马病毒。而且,U盘体积很小,容易丢失。

保持计算机设备的清洁。应用安装的越多,安全漏洞和可能导致的问题也就越多。您的组织可能对可以在计算机上安装和访问的内容有明确的规则,但是这些规则是否得到有效传达和遵守?确保员工们知道信息安全规则。在您的组织内部网站上清晰地发布相关规则,或频繁发送安全意识培训电子邮件,以尽可能清晰地转发重要的安全点。不能过于依赖上网行为管理,员工们并不傻,如果没有足够的安全合规意识,他们中的聪明人可能会找到很多突破上网行为管理的方法,这反倒很不利于信息安全与保密管控。保持清洁可以不仅限于计算机设备,还是包括桌面,因为桌面上还会有很多计算机之外的信息、设备和财物。定期的办公区安全检查是不错的安全意识宣教辅助手段。

坦诚沟通,而不要躲躲闪闪。一方面,信息安全专员要站在组织的立场上,向员工们强调安全要求的必要性,采取开放的姿态,讲述可接受的信息(系统)使用准则,员工行为安全监控等等。另一方面,要鼓励员工们及时报告安全违规情况和安全威胁事件。对网络造成危害的员工通常会感到尴尬,要避免这一点,需要鼓励其尽早发声,由于员工个人的不慎,将病毒引入组织甚或导致数据泄漏的情况很常见,这往往并非员工本身的恶意行为,因此员工们没有任何隐藏的理由。如果您认为自己可能已成为网络钓鱼诈骗的受害者或下载了病毒,请迅速采取行动。立即让信息安全团队了解情况,并收集尽可能多的信息以采取必要的应对和防范行动,以避免和挽回可能的损失。

综上所述,信息安全团队进行了大量的幕后工作,以确保组织的网络安全。然而,赋予员工们强大的安全习惯可以将安全带到一个新的高度。切记:“谨慎是安全之源,小心行得万年船。”多年来,昆明亭长朗然科技有限公司专注于信息安全意识宣教业务,我们帮助大量各种类型各种规模的客户对员工进行安全、保密与合规意识的宣传教育,获得了大量的好评,欢迎有兴趣和需求的客户及行业伙伴们联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898