为上海城投集团员工提供安全意识培训

昆明亭长朗然科技有限公司最近为上海城投集团的部分企业员工提供了一次信息安全意识培训活动。为保障员工身体健康与生命安全,减少课堂聚集式感染病毒的机会,该培训活动使用了基于互联网的在线学院。

上海城投(集团)有限公司的前身是成立于1992年的上海市城市建设投资开发总公司,于2014年改制为有限责任公司,由上海市国有资产监督管理委员会全资持有,是一家专业从事城市基础设施投资、建设、运营管理的国有特大型企业集团。集团约有员工16000人。

上海是中国的超大城市、金融中心与科创中心,在城市建设和运营管理水平方面都是世界一流的。上海城投集团是城市建设的骨干力量,是中国城市精细化管理的标杆,因此,对于生态环境保护、安全生产和信息安全都非常重视。培训活动涵盖了安全的多个方面,重点是工作台安全、远程工作安全以及移动工作安全,包括集团所面临的常见安全风险以及如何防御这些风险。

针对重点员工的培训还包括常见的网络安全威胁防御,例如网络钓鱼攻击、社交工程攻击和对社交媒体网络的攻击。培训聚焦于立体安全概念以及多重安全概念之上,并通过实际示例展示了如何实施这种安全概念,以阻止或减慢高级可持续性威胁攻击者的速度,并如何为事件响应程序做好准备。

培训平台位于互联网,在线学院采用了开放式的通用信息技术和Web架构,并使用了最为流行的绿色SSL通信加密证书。员工们可以从家里的计算设备或者公司的电脑上进行学习,可以说是随时随地安排学习时间。具体的方法是学员们使用浏览器访问在线学院,使用工作邮箱进行学员账号注册,然后激活账号并登录,接下来就开始在线课程的学习。学员可以一次性完成课程内容的学习,也可以中途离开,下次返回继续学习,直至最终完成所有内容。完成课程学习的学员需要参加一项知识测试,以检验安全知识的掌握情况。培训活动的负责人可以随时通过报表,了解哪些员工注册了账户,哪些员工参加了学习,课程学习的进度,是否完成知识内容的学习,是否参加了课程知识测试,以及测试的得分。在培训活动进展的过程中,培训活动的负责人可以根据报表,了解培训活动的进展,并不时对未参加在线学习的学员们、以及未完成课程学习和通过最终测试的学员们进行提醒,以便其及时参加或返回继续学习。

经过了一个多月,该信息安全意识培训活动取得了完满的成功。上海城投集团该培训活动的负责人对此非常满意,通过报表获得了培训活动的量化指标。对于信息安全意识比较薄弱的部分员工,该培训活动的负责人计划在接下来采取更多形式的安全意识宣教活动,比如通过宣传海报、动画视频、钓鱼测试等等,不断加强对其进行信息安全知识方面的熏陶,以便补足网络安全防线中最薄弱的一环。

昆明亭长朗然科技有限公司该项目经理董志军表示:我们很高兴与政企行业客户,以及安全行业合作伙伴分享信息安全意识工作方面的最佳实践,我们强力支持建设全面网络安全防御力量、加强网络安全人才培养的国家战略,积极响应“网络安全为人民,网络安全靠人民”的主题指导思想,并且通过向各类型的客户及合作合作伙伴提供此安全意识培训课程内容,以及在线培训活动,以兑现我们“让用户更有知识和力量,让网络空间更加安全和美好”的一贯承诺。欢迎有兴趣的客户及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

员工安全培训呼唤参与式学习

安全专员们可能认为使用脆弱密码的员工是傻瓜,难道没有人告诉他们不能使用123456作为密码吗?难道系统没有复杂密码的策略么?

也有IT管理员可能认为被成功进行电信诈骗的员工是笨蛋,他们难道比老太婆还贪迷么?为什么没有人告诉他们天上掉馅饼那些事儿都是骗局?

事实上,北大清华毕业的高智商人群中仍然有一部分使用脆弱的密码,博士生被小学生骗的案子随时见诸于媒体,安全专家们通常假设最终用户有一些基础的安全认知,IT管理员也可能会假设员工们都有一些基本的技术能力。

问题是这些假设只是“假设”,最终用户们可能在某方面是一张白纸,“假设”不是真实情况,“地球人都知道”的“常识”并不为全体员工们所知。事实上,没有基础的知识,根本不存在什么“常识”,所以在安全项目或安全计划失效时,千万不要怪罪于最终用户不了解安全“常识”。

在我们仔细分析问题的根本原因之后,我们会明白安全问题的原因并非最终用户的蠢笨,相反却是IT或安全管理员的不称职。事实上,我们多问一问如何能够防范这些安全事故再次发生呢?得到的答案往往是通过安全意识教育训练来纠正用户的错误行为,防止蠢笨的动作。

所以说,安全意识教育的目的是防止用户出现危害安全的蠢笨行为,换句话说,是让人们在日常工作中应用正确的安全最佳操作实践。

有安全专家可能觉得普及安全意识常识是很没有挑战的事情,事实上,多数安全意识教育并没能有效地改变用户的蠢笨行为,多项统计表明:只有少数成功的安全意识教育获得了最终用户的认可,而表现在由于人为失误而造成的安全事故发生率大幅下降。

此外,进行安全意识教育的另一个原因是技术控管措施并不是全能的,三分技术,七分管理,安全技术对整体安全控管的贡献度只占小部分。而安全意识教育无疑是建立健全安全文化的关键,从投入产出上看,安全技术往往价格不菲,安全意识教育则是更经济有效的。

越来越多的安全行业标准和法律法规遵循也都要求组织对员工进行必要的安全意识教育,但是安全意识教育本身并没有标准可以遵循。尽管如此,却有一些方法论可以参考,特别是在建立安全意识教育计划方面,西方发达国家走在世界的前列,这些方法论,实话说和其它企业培训没有什么两样,所以IT、安全和培训专员们应该协同紧密合作,方可建立起完善的安全意识教育方案和计划。

安全专员具有安全方面的背景,IT专员熟悉信息技术和计算终端,而培训专员则更擅长员工沟通以及市场推广。多数领导高层能够意识到安全意识的重要性并给予足够的支持,然而问题并非创建必要的培训内容和发动安全意识培训活动,也并非衡量安全意识培训的绩效——这些通过学习之后即时的测试或一段时间之后的行为监控可以量化。

安全意识教育的难点在让员工参与到安全工作中来,也就是在日常工作中认真对待安全。这话说过来,还是安全意识教育目标没有完全达到理想的效果,虽然部分员工会在接受安全意识教育之后在行为上有些改变,甚至多数员工们在参加安全意识教育之后也会积极地看待安全职能部门的工作,然而这些员工在数量或比重上可能并不足够理想。

这是一个学习兴趣和教育理念的深层次问题,虽然几乎所有的员工们都渴望通过不断学习来取得职场上的进步,但是到具体安全意识课程时,可能从内心深处并不认可某些内容或组织内实施的安全控管措施。所以如果将组织所期望的“正确的”安全理念强塞给员工,即使员工们不乐意,或迫于压力,也得认真学习以便通过测试。

对一些安全意识内容进行培训讲解之后立即进行的测试实际上只是一种短暂记忆能力测试,昆明亭长朗然科技有限公司的安全意识教育顾问Alice Wong说:短暂记忆测试很难深入到员工们的神经意识中,更别指望在培训之后员工们的安全行为能够有什么改观。引发学员们对安全的思考,挖掘出学员们内心的安全意识学习渴望,吊起学员们对安全正确认知的胃口,激励学员们在模拟安全场景中作出正确的选择,比直接而苍白地告诉员工们为什么需要安全、安全是什么以及如何保障安全等等更为有效。因为员工们在学习过程中的主动参与已经在他们的大脑中植入了难以磨灭的深刻印象,在面临安全实际问题时进行正确选择的细胞已经萌发,安全意识基因已经在员工们的体内形成,所以互动式、场景式、参与型的安全意识教育如同应对安全威胁的预防针一样,开始生效了!

安全意识教育不能仅仅靠贴海报、发手册或放大片,单向的输入不能引发受众的思考,对认知和行为的改变效果不够,唯有参与式的安全意识学习,才能给学员位最深入的学习体验。

security-awareness-participation