腾讯集团安全中心最近发起了一项针对职场人员的调查,其中42%的受访者表示不知道他们组织的网络安全政策,这一比例在受访者中平均分配。
大约27%的受访者认为,即使存在此类网络安全政策,他们也没有必要了解,这应该是一个严重的危险信号。当涉及到重要数据时,组织中的全体人员在安全方面都可以发挥重要作用。漠不关心很可能很快就会导致安全事件的发生。
约56%的受访者没有接受过网络安全相关培训。在这一数字中,35%的人认为自己应该接受培训,21%的人认为没有必要接受培训。
那些认为不需要培训的受访者是另一个危险信号。从数据保护的角度来看,受雇用的每一个人都必须接受培训,因为年度培训是多项法律规定的义务。无论个人是否认为需要培训,都不应从实际和合规的角度略过培训。
最后的话题是IT设备保护意识,这导致了相对积极的响应率。大多数答卷人了解安全措施,认识程度因角色而异。
这些调查结果意味着什么?在对待安全问题时,人们的认知存在严重缺陷。尽管安全事故报告和通知源源不断,但如果人们不认为安全受到攻击,则不会采取适当行动来避免问题。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:很多领导不愿意在网络安全培训方面花钱,因为他们认为近来该组织在网络安全方面并没出什么事儿。
领导的忽视造成网络安全培训的缺失,但缺少风险分析往往被认为是人们根本不遵守规定的源头。对此,启明星辰公司网络安全专家警告称:不断创新的网络威胁可能会刺激更大的网络犯罪行动,在可预见的未来,其导致的结果可能是灾难性的。
大道理如此,但问题是,如何拯救未来于坍塌?在组织的哪一级,该采取哪些行动?普通员工可能觉得不需要强制执行网络安全政策,相关的网络风险与他们无关,而认为这是一个组织应该负责的问题。
对此,昆明亭长朗然公司董志军表示:国人缺乏对规矩的敬畏之心,在网络安全政策面前,人们通常会选择性地不作为或不当行为。从这一角度看,组织仍有责任向个人适当通报风险,并加强合规意识,由此,将网络安全政策纳入员工安全意识教育培训活动是前所未有的重要。
在竞争白热化的商业领域,很多公司会制定网络安全政策,并借助惩戒措施来强制执行,我们不否认这种无奈的作法有一定的积极效力,但是也不能否认其对员工归属感和工作积极性的打击。
如果强制执行不是一条清晰的道路,那么如何改变组织中的安全文化?安全文化的重点是期望、自我驱动的行为,更多的是承认责任,并积极努力提高安全性。
阿里巴巴企业文化官说过,安全文化可能是安全领域真正进步的关键。如果一个组织中的所有人都支持并考虑安全性,那么工作就可以依靠自己,并超出最初架构师的预期。此外,安全文化是自我维持的,将在不需要协调一致和人为的感情努力的情况下向外推进。
当然,要建立持续正向的安全文化,仍然需要不断进行安全意识宣教活动,进而让安全政策的精要内容深入到全体员工的血脉和头脑之中,成为企业成功的文化基因。
如果您对本文的观点有所赞同或者有自己想说的,欢迎联系我们,一起交流探讨,更欢迎与我们洽谈业务合作。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:info@securemymind.com
- QQ:1767022898
