近几年各类型组织机构在信息安全管理上多少都有些作为,这是不能否认的事实,其中包括部署和实施各类安全控管措施如最基础的防火墙系统和补丁修复管理流程等等。然而也不能否认的是:这些安全控管措施的受影响者、使用者和管控者都是员工,只有员工们对安全控管措施的认知要达到了一定的水平,方能理解和接受信息安全控管措施的目标、战略和方法,进而使其日常的安全行为选择与业务目标和战略保持一致。
新员工的加入或者老员工的流失都可能增加信息安全风险,无疑也会给传统的以技术为主的安全控管措施带来新的挑战。不断增长的网络钓鱼诈骗、社交工程攻击,加之移动互联网与社交网络向企业应用的日益渗透,让安全管理层开始思考和强化员工层面的安全意识教育。
CNNIC发布的最新一期《中国互联网络发展状况统计报告》显示:手机上网的比例保持较快增速,网民多在家中上网,提供公共上网设施的场所使用率逐年下降。而中小企业中,使用计算机办公的比例为91.3%,使用互联网办公的比例为78.5%。这无疑在提醒各类组织的安全管理负责人员——信息化的成功已经越来越和终端用户的安全使用密切相关。
特别是在新员工方面,公司需要使用更加全面和完整的战略方法,来向员工们沟通安全策略、标准和工作流程,来教育培训员工们遵守关键的信息安全规章制度。昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:传统的基于邮件的安全通报或纸质的印刷品显然缺乏足够的互动,而且容易被员工们忽略,更难以衡量其有效性。
摆在我们面前的关键问题是:有多少员工真正了解公司的安全政策呢?他们知晓哪些是信息安全策略允许的,哪些是信息安全策略禁止的,以及安全策略为什么这样要求吗?
亭长朗然公司的Alice称:多数的安全事故的起因都和内部员工的安全意识薄弱密切相关,如果员工们正确对待信息安全策略,并且持续执行必要的安全流程,多数的信息安全事故可以得到避免。
传统的邮件通报和纸质文档对于改进员工安全意识的效果不够理想,课堂式安全培训又比较耗费时间和人力,而在信息时代,通过电子学习方式来进行信息安全意识教育无疑是更有效的,也更经济实惠和方便管理的。
安全意识电子学习可以提供员工学习进度的良好监控,也容易及时通过测试来衡量员工的学习效果,更能向审计和监察机构证明安全意识培训工作得到了必要的开展。
此外,调查表明,除了新员工容易违反公司的信息安全方针政策之外,老员工也容易疏忽大意导致安全事故的发生并且给公司带来更大的伤害,所以针对老员工的安全意识刷新也是很有必要的。
亭长朗然公司提供标准的信息安全意识在线学习课程以及在线学习平台的搭建服务,也提供量身定制的安全意识培训课件开发制作服务,可以让客户以最小的投资获得最大的安全回报。
勿让新员工成为信息安全短板,需从新员工安全意识教育培训抓起。