安全意识培训搞一次远不够

security-awareness-education

专门针对全体员工进行的正式安全意识培训并不多见,但是多数组织机构都会对新员工进行或多或少的入职安全意识培训,这份工作或由IT部门,或由安全部门,或由培训部门进行,信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说:别指望通过对新员工进行的几个小时的安全意识培训,就能让员工们能记住那些安全策略和规定,并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因,而这里面,大部分都是一些无知或大意的行为,通过特定的安全技术措施,可以起到一部分的帮助作用,然而,更需要强化对员工们进行安全教育,以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然,安全意识是一种认知一种理念,某些记忆会随着时间的推移而弱化,同时,新的安全威胁却不断出现,所以针对职场新兵们的一次简单安全意识培训并不足够,系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人,或者信息安全是您的工作的一部分,您都应该关心安全培训,多数的IT人并不是很清楚信息安全的核心理念,更何况普通的用户呢?简单的问问您自己:您最近与组织或部门成员沟通信息安全问题是什么时候的事情?您觉得受众对这些安全理念的理解和接受程度如何?

如果您不能立即给出上述问题明确的答案,您需要考虑一下了。亭长朗然公司Alice说:信息安全管理人员往往会有一个认识误区,便是将几十页的员工安全手册发放给员工们进行阅读,以期望他们能够消化。显然,员工安全手册使用的是IT安全相关的专业语言,是给法务、监察或审计人员来看的,根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后,不能简单地说:你没有遵循安全相关的规定,都是你的错,你签了字,你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册,或者没能读明白,或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议,不管三七二十一,就点击“同意”一样。

不过,在法律合约层面,又需要员工签署对相关安全政策和标准的遵守承诺,所以说员工安全手册,尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时,会特别划出重要的可能引起争议的部分,这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面,还是需要更为生动的在线视频或互动式培训课程来进行,因为这些教育方式和渠道更受员工们的欢迎,也更有效。

安全意识培训,勿忘示范和激励的作用,安全是一种保障,也是一种与效率的平衡,安全方面的限制过多不行,在限制多少这个度上面扯皮更是不值得,我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律,自己却搞特权,显然说一套做一套只会引起员工们的不屑,甚至引发“只许州官放火,不许百姓点灯”的不满和抗议。

管理层从自身做起,时刻注意自己和团队的安全理念和行为,能起到积极正面的示范作用,但是这还不够,组织范围内的信息安全是一个大环境,每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量,从激励入手是最重要的。通过安全意识培训,传递明确的安全期望,特别是在对待组织内部的一些安全隐患或弱点方面,对于有安全敏感度,并且能够及时报告隐患或事故的员工们,给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果,如果一味强调对违规事实的处罚,而不考虑客观情况和主观愿望,可能会引起掩盖安全事故的行为,这显然会带来更大的损失。要教育员工安全问题可能会客观存在,特别是意外的或不小心造成的,无论如何在有怀疑或发现之时都要及时报告,以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的,则应强调和实施严厉的处罚。

综合来讲,安全意识培训是整体安全管理的一部分,安全意识培训需要持续不断地进行,更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理,降低安全事故发生的概率。

文档安全管理系统与信息安全意识

不可否认的是现在是一个“知识经济”时代,组织的成功越来越多依赖“知识”的积累和应用。

在“人治”时代,人们的工作没有固定的可供遵循的章法,成功的关键要素是人们“无形的”能力,知识和技能的积淀和传承只能依赖“师傅”的胸怀和“徒弟”的悟性。

将知识和技能“文档化”无疑是现代组织取得成功并且能够让基业常青的基本内功,各个岗位都有自己的知识库、都有自己的工作流程和工作记录,更复杂一些的协同工作则对文档的要求提到了前所未有的高度。

而信息化无疑为文档化插上了腾飞的翅膀,让信息文档从传统的故纸堆开始迈向“无纸化”时代。当然出于多方面的原因,纸质的文档仍然需要保留一部分。

相对于纸质文档,“无纸化”电子文档的优势很明显,不仅低碳环保,而且更加高效。相对于物理的纸张,电子文档的安全性也上了一个台阶,至少不必担心文档着火、虫蛀或其它的物理损毁,但是电子文档的安全性也有一些倒退,比如容易被非法复制和恶意外泄,所以这对于强烈依赖信息数据的大量组织无疑是一个需要强化控管的热点问题。

媒体上经常报道某些公司雇佣黑客或间谍窃取竞争对手的核心机密文档,也有经常报道某些“内鬼”出卖公司的商业机密获利,这些血淋淋的文档外泄案例无疑给经营管理层敲起了警钟。

有问题的地方就有需求,市场上出现了大量的文档安全管理系统,大多使用了各类创新的安全科技,来防范外部入侵者和内部不良员工对重要文档的非法读取和拷贝。

使用创新科技的文档安全管理系统的确在一定程度上能够帮助保障信息数据的安全,然而简单安装配置文档安全管理系统容易,但是要使其发挥到最大的安保效力,却需要不少功夫,尤其是需要结合实际工作中控制管理。昆明亭长朗然科技有限公司的企业安全管理市场研究员Alice Wong说:文档安全管理系统是保障数据安全的工具,要使用好工具,关键还是依赖工具的使用者。

如何使用好文档安全系统管理工具呢?答案肯定不是好好阅读用户使用手册。要想真正回答好这个问题,需从信息安全控管的基础理念开始,想想如果工作的使用者不理解工具相关的必需知识,就如同把精密的仪器交给猴子一样。回到文档安全管理方面,亭长朗然的Alice强调信息安全管理负责人需要强化文档安全管理系统用户们的一些基础的安全意识理念,它们包括但并不限于:访问控制、帐户与权限管理、最小特权原则、特权分离原则、多重防御原则、数据备份、访问日志审计……

除此之外,要想保障信息数据的安全,不能完全依赖文档安全管理系统,这是因为绝大部分的重要信息存在于员工的头脑之中,即使部署并严格配置了文档安全管理系统或数据防泄露系统,员工仍然可能会偷拍重要的机密信息。即使强化了物理安全的控管比如禁止携带拍照设备,但仍然防范不了员工无经意的口头泄密。

昆明亭长朗然科技有限公司,不仅能够协同文档安全管理系统或数据防泄露系统产品提供商一道,通过安全意识基础理念的教育来帮助客户成功防范各类电子文档的安全。更能突破“电子文档”的限制,而从更高的信息数据安全层面,通过强化员工的信息安全保密意识,来弥补各类安全控管技术系统的不足。