信息安全培训行业呼唤互动式的在线课程

市场需求变化多端,商业模式也在随之变化,产品和服务不断被重新定义,公司要形成独特的竞争优势,疏通价值链,实现战略协同合作是当今的一个趋势。

行业领袖企业往往会占领价值链的核心,掌握和占据行业生态控制的主动权——通过信息系统整合和优化供应链,进而形成行业准入和竞争壁垒。无疑,伴随着商业模式和流程的重组和再制,海量的数据将被不断地催生、交换和处理。即使我们能设计和实施最为高效最为安全的系统,也难免要与价值链中的系统用户互动,难免需要他们参与商业流程的操作,要想到达多方共赢的局面,同时在利益博弈之中处于优势地位,绝不能忽视信息安全,绝不能忽视最终用户在公司数据保护和商业风险控制方面所发挥的重要作用,所以建立公司内外的信息安全意识培训计划势在必行。

而广义上的外部环境也日益强化法律法规的遵从性,上市公司则面临着更多行业监管的要求,计算机犯罪率的上升也让网络信息安全成为公司的必修课,要下采购订单的国际大主顾对数据的安全更是不依不挠,其中都有不少关于信息安全意识培训的篇幅。

无论如何,教育员工及价值链一些关于信息安全的基础都是必须的。信息安全意识培训帮助保护公司的信息资产,如果这些信息资产丢失,结果可能轻则伤及公司形象,重则致使公司巨额亏损甚至破产。

较为规范的大型公司通常都有足够的信息安全意识培训预算,不过仍然有不少公司没有意识到这需要一笔明确的投入,在出现严重人为原因造成的安全事故之后,相关负责人员再被问责,怕是再后悔、翻倍投入也无法挽回巨额损失。

中小型企业通常没有庞大的预算和专职的安全培训人员,如果处于行业价值链中领袖企业的上下游,则可以借鉴领袖企业的做法,甚至共同分享安全意识培训资源。

对多数企业来讲,必要的投入不是问题,只是投入多少而已,当然目标都是解决商业风险和信息安全管理中人员的意识问题,而要达到这些目标,传统上有三种途径:内部培训、外部培训或网络培训。

内训的好处是课程设置更贴身,毕竟内部讲师更了解公司的实际情况,然而不要简单认为寻找内部培训讲师不用向公司外支付费用,成本低而且效果好,非专职的讲师设计课程的资源耗费要远高于专业人员,熟悉内情和知道如何解决问题是两回事。

聘请外部培训公司或讲师,外部讲师多数更加专业,并且见多识广,虽然不是很了解客户内情,至少可以帮助推广普世信息安全真理,另外,如果前期在客户的问题挖掘、需求分析和培训战略等方面的准备充分,则可带来理想的培训效果,只是往往花费不菲,而且培训到受时间空间限制,并不可重复。

依托电脑网络进行培训则是行业趋势,它打破了时空限制,让培训资源可重复利用,进而节省成本。另外,信息安全管理负责人员如能将例行的安全培训工作系统化,其能在公司商业模式和流程创新中的卓越贡献则更是可想而知。

不管哪种培训方式,培训目标中最重要的是让最终用户明白自己在价值链的成功之中所扮演的重要角色,认可和接受自己在保障公司的成功之中所承担的重要职责。

要达到这目标,要分析用户,大部分电脑用户并非IT安全专业人员,安全意识培训应该简单明了,且接近这些日常用户,安全专家喜欢讲些深奥的安全道理,即使没有故弄玄虚,也会让用户望而却步,这种方法并不恰当,真理是朴素的,像对待不懂电脑的亲朋好友一样,告诉他们简单的安全防护道理、知识和技巧,使用这些,在保护公司的同时,也保护了他们自己和家人,他们才乐于接受。

在多数公司的培训和宣传课堂上,通常看到不少员工在打盹,他们根本没有兴趣甚至抵触这些课程,这实际上是在严重浪费时间资源,讲师们通常将这些问题归于学员,当然不能排除个案,实际上多数情况在于这些课程的表现形式过于枯燥和单调,缺乏与学员的互动。

大型的现场安全培训覆盖人群广,但是难得有实质性的互动;小型课堂式培训效果好,可是受训的人数有限;录制一段视频让员工自己在电脑终端播放着学习也缺乏互动,只是不受大型现场安全培训的时空限制……这就是多数公司进行安全培训策划时面临的困难选择。

然而,一切都在变化,互动式的信息安全意识电子学习课程越来越受人喜爱,音频视频、防呆设计、用户参与、小游戏、挑战过关、角色扮演、奖励激励、仿真游戏、测试环节等功能和方式逐渐加入,让学员们耳目一新,让课程不在枯燥,在互动中成长,在实践中锻炼,在测试中学习。

昆明亭长朗然科技有限公司近期出台了一项互动式的网络安全培训课程,看了看免费的公开版,虽然没有让这种枯燥的课题变得栩栩如生,但也变得生动形象,让公司的网络安全制度平易近人,进而让员工知晓网络信息安全的基础理念,采用标准的最佳网络安全实践。

该公司以极低的产品价格帮助重视员工培训的中小企业建立信息安全意识教育课程,也为大型公司提供客户化培训产品的定制设计和开发制作。

有理由相信,这种互动性的课程设计必将成就信息安全意识培训的未来,也必将成为信息安全意识教育的未来。

探讨员工安全意识培训的创新方法

信息社会来临,信息技术不断进步,改变着人们的工作和生活方式。电子邮件、网上交易、网络游戏、即时通讯,博客及社交网络等已经得到了广泛的应用,随着云计算、物联网、移动应用等等新技术的逐渐普及,信息安全问题也将越来越突出。您的组织和员工是否已经具备了应对这些信息安全问题的自我保护认知和防范本领?是否会定期更改密码?是否有定期更新操作系统和防病毒系统?是否有随意点击不明链接和打开不明附件?是否有随意连接到开放式无线网络?是否有随意向陌生人透露组织的商业机密信息?是否有在微博上发表不利于组织的言论?是否有随便填写个人资料?

我们相信这类问题可以一直问下去,而大部分的信息安全问题涉及到组织的业务成功和商业信誉,但它们不是简单地通过技术控制手段就可以轻松解决的,而更多是需要建立和提升员工的安全意识认知和自我防范观念。

组织内外相关人员的安全意识的薄弱往往是信息安全的最大隐患,而且这一项关于“人员”的弱点不像其它技术漏洞一样,它很不容易得到修复。一方面,组织内很少有员工会主动认识到自身的安全意识需要提高;另一方面,有关信息安全的议题往往比较生硬和枯燥,不当的限制条款或沟通交流容易引起人们的漠视,反感甚至消极抵抗。

这就引起一个如何进行信息安全意识推广的问题,如何让这生硬的议题变得有趣,挑动观者的心,让其主动对信息安全相关话题产生兴趣,进而主动吸收相关的信息呢?

在几十年前图书匮乏的年代,我们可以扔出类似“红宝书”的信息安全手册,强制员工背诵,进而达到灌输的目的,可是这种手段如果用在今天的年轻人身上,那将效果甚微,毕竟,他们已经习惯了更加活泼有趣的方式。

所以,我们也要以活泼有趣为出发点,规划各种推广活动,将信息安全意识包装到各类活动中,具体的活动可以是安全讲座、安全课程培训、安全周(或安全日,安全月),安全知识竞赛,安全节目表演等等,渠道可以运用时尚的微博、博客、调查、投票、抽奖等等。

安全讲座方面,可以结合组织的实际情况和当下的热门话题,选择一些安全的主题,如“3Q大战和机密信息保护”,“移动办公安全”,“防止微博泄密”等等,时间和地点的安排可以根据组织的实际情况决定,参加人员除了有兴趣的人员之外,可让每个部门或业务单元派出代表参加,这些代表应由部门经理指派,负责本部门信息安全的沟通协调和推广,当然,经理们最好是委派部门内有兴趣的人担当这一重任。

安全课程培训,则可分类两类,在这里我们针对全员甚至和组织相关联的第三方员工,所以只限制在信息安全基础,不探讨专业的信息安全认证培训和教育。

第一类是技术相关的培训,结合组织的安全架构,安全标准、操作流程和工具等,可设置如个人电脑安全基础综合课程,可从电脑密码的更改,屏保的等待时间,防病毒和个人防火墙的设置和操作,补丁的更新管理等等。

内容可以由负责终端安全的技术服务人员制作和维护,可以写出详细一步一步的操作指南和常见问题,甚至录制屏幕操作过程,配以讲解等等,记得将这些资源放到所有需要的员工都很容易找到的地方如内部IT服务网站或IT安全网站等。如果有较大的更新,也可以通知相关的员工,这样做方便有兴趣的或有需要的员工随时来访问或查询。

另外在推广方面,可以在各个部门中挑选电脑技术比较厉害的又愿意帮助他人的一线员工,加强他们的安全技术培训,以便他们能及时帮助发现和处理部门中的安全问题,以及向其部门中其他员工传授安全技术和理念。

第二类是进行安全意识的培训,结合组织的安全策略和标准,可以制作各种议题的安全意识课程,或综合全面的信息安全基础课程,课程的主题可以包括常见的话题,如社会工程学防范,邮件安全,密码安全,防网络钓鱼,社交网络安全等等。

根据组织的实际情况,可以制定培训的方式,通过课堂培训或通过电子学习。课堂培训适合规模较小的组织、以及较大规模组织的新员工入职培训;电子学习适合较大规模的组织定期进行全体员工的安全意识推广和刷新。

课堂培训针对新员工的一般时间两小时左右,针对全员的时间可酌情缩短至一小时。可以由组织内部安全人员进行讲解,或请专门的安全培训讲师,组织内部的安全人员更了解组织的实际情况,但在推广上可能也会有些阻力和难度;如果请外部讲师,得注意事前沟通组织较为关心的一些安全话题,比如此前出现的安全事故等等,以便讲师能有侧重方面的准备,和获得更好的效果,同时组织内部的安全人员也可以从外部讲师那里获得一些经验方面的指导,以及学习一些推广的技巧等等。

不过,如果您认为外面的和尚好念经,那就不全对了,除去专业讲师的收费较高不谈,大多数讲师不会允许录音或录像,而更多的精华内容在PPT或讲义中无法体现,另外课程完成之后的后期跟踪普遍较弱,而安全意识教育却是一件长期不懈的工作,所以,如果不是与组织长期合作的安全管理顾问,您不能给讲师提供的课堂培训以太高的期望。

当然,您自己可以内部开发相关的课程,以及使用内部的讲师,如果您的组织有内部的多媒体广告部门或者设计人才,可以同他们沟通。一般来讲,他们是设计制作方面的专家,但是可能对信息安全的认识不够,在和他们沟通成本花费的同时,您更要评估重要安全理念能否被创意团队很好的展现出来。记住,为了那两个小时的精彩,您可能要花上几十甚至上百倍的时间在准备工作上。

如果员工众多,选用电子学习方式无疑具有成本和效益方面的优势,如果是自己设计内容,您可以保证前期辛苦的准备工作可以被反复使用多年。当然,您也可以考虑采购信息安全意识的学习内容,导入到内部学习平台,甚至也有专业的服务提供商提供在线信息安全意识培训,能让您省去平台管理和维护的工作。电子学习的课程时间可以考虑设置半个小时左右,加上学习效果的测试,总时间可以限制在一个小时之内。

位于互联网“云”端的在线学习内容大多是多媒体格式,它们可是较耗带宽的,所以建议使用内部电子学习平台。您可以找组织中的培训部门沟通,看是否有现成的电子学习平台,是否方便导入学习内容。相信多数平台都支持导入符合标准的学习内容,当然如果没有现成的平台或有其它原因,您也可以考虑搭建一套平台,可以购买商业的学习软件系统或使用开源的系统,通过评估使用的人数和频率,简单计算硬件性能和网络吞吐的需求,一般来讲,中阶PC服务加上百兆网络环境可以应付多数大型组织,跨国或有多个大型站点的机构可以考虑在部分站点也建立学习系统。

培训和学习的需求不再劳重复罗嗦,和较宽松自由的安全讲座以及技术培训不同,我们建议强制进行组织内部全部员工的信息安全意识学习,鉴于组织的业务流程可能有很大差异,某些几乎不接触到电脑和关键信息资产的部门和岗位可以不使用电子学习,但是不能忘记为重要的供应链及合作伙伴的员工提供培训,毕竟他们也是组织业务安全的重要组成部分。

要强制推动全员参加电子学习,需要高层以及各级经理支持,经理要为所在部门或业务单元的安全负责,理所当然应该做好表率,所以可以安排经理主管们先行学习,然后再推广至大量一线员工。经理主管们要保障所在部门的信息安全,当然也要依赖下属每一位员工的安全意识和行为,所以他们应该要求下属员工积极参加学习。当然,也可以分阶段的推动,先挑选如信息技术和安全部门进行,一方面人员较熟悉,此外也可积累一些经验,方便后期的推广。另外,也要同人力资源进行沟通,争取人力资源部门支持将信息安全和员工的个人绩效相挂钩。

学习课程内容的设计除了生动活泼有趣之外,也要有很好的互动性,而且更重要是要衡量学习的效果,互动就不是单向的放视频,可以在课程中间设置防呆功能,比如设计小的问题让学习者点击鼠标或输入键值。衡量学习效果则可通过学习之后的在线考试进行,当然考试不是目的,只是手段。不过,在必须通过考试的压力下学习,效果会更好。

在技术上,学习系统可以和员工的工号或组织账号接合起来,典型的做法是使用LDAP数据库,也有不少组织使用活动目录Active Directory管理员工的账号,当然,如果无法使用集中的用户账号数据库,也可以批量导入用户名和密码,然后批量发送邮件通知员工参加,当然,也可以考虑通过组织的架构,逐级向下推动学习的进度。不过,这里面还需要各业务单元或部门的信息安全沟通协调人员进行推进。

需要给员工一些日子来自主选择学习的时间,一般可以告知从发送邮件起一个月内完成,一次测试不通过需要重新学习,直到测试通过为止。安全管理员在学习进度的跟踪上可以每周搜集和整理报告,并向各部门或业务单元的经理及协调人员发送进度和未通过的名单,以及采取必要的督促工作。如果您的目标是100%的员工100%的通过测试,您可能得在最后几天加强相关人员的联络和沟通,一般,这两个数值达到95%以上便可以接受。

对学习比较积极,对组织的安全文化有积极影响的员工和信息安全协调人员进行适当的奖励和表彰,以此来引导更多的员工关注信息安全。另外,新的安全威胁和问题会不断出现,也还需要保持员工信息安全意识的刷新,我们建议您至少每年更新一些培训内容,除了要求新入职员工学习之外,持续每年进行全员的安全意识电子学习计划。

security-awareness-e-learning如果您对信息安全意识培训计划和方案的创新有想法,欢迎您随时联系我们,一起探讨一起进步。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898