安全意识教育的商业价值

安全意识对您的组织重要吗?昆明亭长朗然科技有限公司的一项开放式在线调查结果表明:少量用户20%认为安全意识“不重要”,和认为“非常重要”的19%几乎持平,而多达61%的受访者对此表示并“不关心”。这项公开的调查并不是一项性格测试,所以没必要对受访者进行严格的分类。总体来讲,安全意识对于受访者们来讲是“可有可无”,并非那么紧要的事务。

不少安全从业人员向我们抱怨称公司领导对信息安全的重视度不够,认为只要不发生影响电脑正常使用的恶意病毒事件就万事大吉,但是却重视员工的安全意识培训。安全专业人员对简单的信息安全意识受到高层“过度”的重视表示不理解,的确我们不能否认要搞好企业安全建设,专业人员所拥有的特别安全知识和技能是必需的。

安全专业人员的抱怨并非没有道理,但是也并不全怪领导“不重视”信息安全工作,毕竟领导们多不是信息安全专业出生,他们更不是这个领域的专家。领导们往往站在业务全局或所属部门的角度来审视信息安全,尽管他们对信息安全的认知可能并不足够,但是他们无疑更理解业务或部门对信息安全的需求。

安全专业人员也并非全都是业务方面的“门外汉”,基本的业务流程现多被信息化所驱动,信息安全专员多少都懂些信息系统基础,稍加努力了解一些业务架构和关键的流程,以及对IT安全方面的依赖,便可轻易成为又懂安全又懂业务的职场精英。昆明亭长朗然科技有限公司的安全顾问Alice Wong称:除非安全专家想往业务方面发展,否则多数情况是安全专家只想获得对他们的专业技能的认可和尊重。解决方案很简单——领导们在进行新业务或项目的调查分析之时,或在制定相关决策之前,向安全专家们咨询顾问一下。

安全专家们愿意为公司的成功更多付出专业方面的正能量,但是信息安全专家们显然不愿意也不会为员工终端层面的安全问题负责,他们会认为那些太小儿科,但是问题在于普通员工往往有更关键的工作——创造更多的商业价值,而不是成为安全方面的高手。矛盾出现了,安全专家们纠结了,身处管理层要负责的“领导们”必须得有所作为,他们要成为安全专家与终端员工甚至最终用户之间的沟通桥梁,他们需要让终端员工们掌握基本的必需的安全知识和技能。

信息安全专家,不管是技术方面的还是管理方面的,现在都应该认识到真正的问题和挑战,要为领导们所认可和接受,必须改变以往的傲慢立场,深入一线了解和评估基层员工们的安全认知水平,制定和实施必要的安全意识培训战略和计划……

而业务主管及高层的领导们则应该考虑到专家们所受到的限制,给予所需的必要的支持,让员工安全意识培训计划能够顺利地在整个公司或部门范围内得以顺利落实。

建立人员安全保密“防火墙”的必要性

网络安全协会计算机专家表示,由于缺乏安全性或意识,黑客正在瞄准规模较小的企业和组织。

安全意识博客最近对500多名首席信息安全官进行的一项调查发现,人才和培训限制对安全组织产生了重大影响。更重要的是,那些采用隔离式安全方法的组织比那些采用强大的企业级战略方法的组织要虚弱很多。典型的“隔离式安全方法”包含但并不限于构建专用的“涉密网络”和“涉密区域”。

首席信息安全官联盟表示明年的优先工作事项,这揭示了当今企业面临的根本挑战,就是需要更多的安全人才,需要更好的员工安全培训。到底发生了什么,为什么要解决这个永远存在的痛点?

“一方面,没有足够的专业安全人员可用,”昆明亭长朗然科技有限公司网络安全与信息保密观察员董志军说:“网络安全行业人才短缺,大型机构需要先进的网络安全技术和管理水平才能完成工作。”

另一方面,黑客正在欺骗公司和个人使用针对假冒合法电子邮件而定制的网络钓鱼电子邮件。根据网安协会专家的说法,点击电子邮件会绕过所有安全系统,允许黑客访问受害者的信息。

董志军解释了可以做些什么来帮助保护信息系统:防火墙和病毒早期的成功检测率是一半多,再加上防火墙、日志审核以及安全通讯,基本上一个安全管理体系就能搭建起来。而现在,必须要能够在实际威胁发生之前了解正在发生的事情,这样才能获得对抗的先机。传统的技术型安全方案不再足够,现在更多需要防范针对终端设备和信息使用人员的攻击。简单举例来讲,很多企业要求员工在晚上下班前关闭所有电脑和电源开关,这样没有开启电源没有联网的计算机就不易受到黑客攻击。

综合来讲,专业安全人员缺乏,普通职员缺乏必要的安全意识,这就需要我们强化对员工和利益相关者进行最佳实践教育和培训,以防止或减少针对内部人员的攻击,例如网络钓鱼等。此外,所统计,去年超过三分之一的网络攻击和机密泄露涉及内部参与者,这个数字很吓人,细思一下也很合乎现实逻辑。由此看来,构建将整个企业和组织范围内的安全保密意识和行动极其必要,这也被行业视为人员防火墙。

“安全并不仅仅存在于专业团队中,它存在于整个组织中,”京东安全总监说:“对于安全意识教育和培训而言,领导力对于如何影响文化中的变化非常重要。最终,要改变一种文化,要求人们做一些不同的事情。如果您能成功解释为什么要求人们改变,您的意见会得到更多的采纳。这归结为与其他员工保持透明沟通,影响和利用自己团队以外的资源。”

据悉,京东很重视员工培训,为建立安全意识文化,公司成立了“网络安全大使”和“安全保密之友”,他们在各自的部门内部注意安全,并协调安全意识沟通。“开发人员不是安全专业人员,但如果您教育他们并给他们工具以确保他们发布的代码是安全的,那么您将获得他们的尊重和认可。但您不能指望他们这样做而不解释原因,因此帮助他们理解为什么要这样对他们很重要。”

小米公司也非常强调沟通的重要性,并积极将安全性嵌入到公司文化DNA之中。该公司人力资源培训专员表示:“在对安全的沟通方面,我们强调诚实和透明,我们以非常实际的方式与我们的员工讨论网络安全与信息保密意味着什么,以便在他们的工作中进行关联。因此,我们拥有一整套方法,可以将安全意识内容嵌入安全文化之中。“

我们会对新入职员工进行普及性的信息安全意识培训,也会对特定职位的人员进行岗位安全知识和操作培训,还有每年都会发起全员的安全意识更新,并且在人员离职时也会强调信息保密沟通,以便他们离开公司时以及离开之后不至于冒险窃密泄密。通过这些手段,来牢筑网络安全与保密的“人类防火墙”。

不否认,电商领域对网络安全和信息保密有很高的重视程度,网站和人员的安全漏洞足以造成服务的中断、交易的中止、客户信息的丢失甚至信誉的丧失。不管企业性质如何,意识培训和安全文化都是一个成功的网络安全战略的关键要素,因为一个组织面临的许多脆弱性都来自内部。强大的安全性不仅仅体现在安全从业人员团队,更多的是从人员的角度看整个企业有多么强大和弹性。意识是网络安全战斗的重要部分,将安全保密最佳实践融入企业的每个角落是成功的安全领导层必须确立的一种心态和前进方向。

如果您对建立安全保密“人员防火墙”这个话题有更多兴趣,请不要客气地联系我们。我们已经开发创作了一系列的活动来帮助组织提高员工的意识。这可以包括内部交流,如海报挂图和传单彩页、卡通动画和真人视频、研习活动和一套全面的电子学习内容。重要的是,内容可以定制以适合您自己的政策、程序和品牌。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898