将网络安全政策纳入安全意识宣教活动

腾讯集团安全中心最近发起了一项针对职场人员的调查,其中42%的受访者表示不知道他们组织的网络安全政策,这一比例在受访者中平均分配。

大约27%的受访者认为,即使存在此类网络安全政策,他们也没有必要了解,这应该是一个严重的危险信号。当涉及到重要数据时,组织中的全体人员在安全方面都可以发挥重要作用。漠不关心很可能很快就会导致安全事件的发生。

约56%的受访者没有接受过网络安全相关培训。在这一数字中,35%的人认为自己应该接受培训,21%的人认为没有必要接受培训。

那些认为不需要培训的受访者是另一个危险信号。从数据保护的角度来看,受雇用的每一个人都必须接受培训,因为年度培训是多项法律规定的义务。无论个人是否认为需要培训,都不应从实际和合规的角度略过培训。

最后的话题是IT设备保护意识,这导致了相对积极的响应率。大多数答卷人了解安全措施,认识程度因角色而异。

这些调查结果意味着什么?在对待安全问题时,人们的认知存在严重缺陷。尽管安全事故报告和通知源源不断,但如果人们不认为安全受到攻击,则不会采取适当行动来避免问题。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:很多领导不愿意在网络安全培训方面花钱,因为他们认为近来该组织在网络安全方面并没出什么事儿。

领导的忽视造成网络安全培训的缺失,但缺少风险分析往往被认为是人们根本不遵守规定的源头。对此,启明星辰公司网络安全专家警告称:不断创新的网络威胁可能会刺激更大的网络犯罪行动,在可预见的未来,其导致的结果可能是灾难性的。

大道理如此,但问题是,如何拯救未来于坍塌?在组织的哪一级,该采取哪些行动?普通员工可能觉得不需要强制执行网络安全政策,相关的网络风险与他们无关,而认为这是一个组织应该负责的问题。

对此,昆明亭长朗然公司董志军表示:国人缺乏对规矩的敬畏之心,在网络安全政策面前,人们通常会选择性地不作为或不当行为。从这一角度看,组织仍有责任向个人适当通报风险,并加强合规意识,由此,将网络安全政策纳入员工安全意识教育培训活动是前所未有的重要。

在竞争白热化的商业领域,很多公司会制定网络安全政策,并借助惩戒措施来强制执行,我们不否认这种无奈的作法有一定的积极效力,但是也不能否认其对员工归属感和工作积极性的打击。

如果强制执行不是一条清晰的道路,那么如何改变组织中的安全文化?安全文化的重点是期望、自我驱动的行为,更多的是承认责任,并积极努力提高安全性。

阿里巴巴企业文化官说过,安全文化可能是安全领域真正进步的关键。如果一个组织中的所有人都支持并考虑安全性,那么工作就可以依靠自己,并超出最初架构师的预期。此外,安全文化是自我维持的,将在不需要协调一致和人为的感情努力的情况下向外推进。

当然,要建立持续正向的安全文化,仍然需要不断进行安全意识宣教活动,进而让安全政策的精要内容深入到全体员工的血脉和头脑之中,成为企业成功的文化基因。

如果您对本文的观点有所赞同或者有自己想说的,欢迎联系我们,一起交流探讨,更欢迎与我们洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

建立企业安全文化的关键

企业安全文化是企业文化的一部分,员工们如何看待企业安全文化呢?在现今时代,如何建立适应企业发展的安全文化呢?

每天各类型的组织机构都面临着新型的威胁,要积极应对它们,保护自身,唯有顺应时代的变革,积极部署新的安全控管措施,训练员工们以及不断校正企业安全文化。昆明亭长朗然科技有限公司安全管理顾问Alice Wong提出如下变革企业安全文化的要点:

1.没有一成不变的企业文化,包括使命和价值观也会随着时代的变化而变化,企业安全文化也是如此,但是安全文化的变革往往要滞后。

2.商业世界不断面临着变化,业务面临着新的挑战,需要改变安全文化以适应这些挑战,安全管理负责人要积极触发企业安全文化的正向变革。

3.企业安全文化的变革是自上而下的行动,安全观念的革新需从最高层抓起,安全职责应该得到落实,安全显然并非仅仅只是“安全部门”的工作。

4.每年进行一次必要的安全培训,包括针对新员工的入职安全意识培训,每年考核一次员工的安全绩效表现,这些应该成为整体绩效考核的一部分。

5.对员工们的安全行为进行适当的奖罚,鼓励积极正面的安全理念和行为,警告甚至开除那些严重违反安全规章制度,令公司损失惨重或处于危险状态的员工行为。

企业安全文化的建立非一日之功,只有组织高阶管理层重视并付诸行动,企业安全文化计划才能得以顺利开展。而最高领导层,更需要在安全意识方面得到教育,以便能够展示对保障安全的承诺和对安全事故进行适当的响应指导。

security-culture