在對待it安全培訓的態度上,企業的it安全專家們一般可分為兩類:一類專家認為安全意識培訓課程很有必要,另一類則認為對員工進行安全意識教育完全是浪費時間。其實,企業對員工進行的安全意識培訓課程不但是現實情況的要求,而且也是企業提高競爭力,與其它競爭對手相區別的乙個重要特徵。理論上,安全意識培訓是個好主意,但是和很多好主意一樣,如果實施的不到位,好主意也會變得沒有效果甚至真的成了浪費時間的事情。
對於當前的企業資訊保安窘境,很多人都指責是由於企業過分的依賴於安全軟體廠商提供的過於老舊的技術(比如反病毒特徵碼),而安全軟體廠商沒有及時根據新的威脅改進安全解決方案。當然,這是乙個挺合理的解釋,但是另一方面講,企業的it專家們也應該負有同樣的責任,因為他們沒有為企業員工提供新安全環境下的安全培訓課程(當然也還有其它很多因素,但是本文不作討論)。如果我們這些it專家還在拿九十年代的it安全知識來教育現在的企業員工,還有什麼理由去責怪安全軟體廠商不及時更新技術呢?也許大家都聽到過這樣的安全教育:「要確保安全,就只訪問大型**」或「不要去****,否則會中毒」。大多數企業對員工進行的安全意識培訓,課程的主幹都是圍繞著一系列「能做什麼」和「不能做什麼」展開的。 現在,是時候讓我們重新考慮安全培訓課程的內容和教學方式了,不論是內容還是教學方式都應該進行公升級,才能符合當今企業員工的實際工作情況。
丟掉「使用者」這個詞
不知企業的it部門什麼時候開始將自己和其他員工用「我們」和「他們」這種方式分開的,但是這種情況必須馬上停止。為什麼it專家在說他們的同事時,總是用「使用者」這個詞呢(而且通常說這個詞的時候都帶著鄙夷和不屑的態度)。這個詞並不意味著什麼,但是卻會導致部門間的**、不信任、以及怨恨情緒在it部門和企業其他部門間瀰漫。而要糾正這種錯誤,it專家們需要為了企業未來更好的發展,從內心真切的與其他部門的員工交流。對於任何企業來說,人都是最寶貴的財富,因此確保他們能夠安全的工作,企業才能有信心實現長遠的發展。改掉這個不良的習慣,最終會讓企業變得更強大,更具競爭力。
拋開消極心態
在it圈裡有乙個流傳很廣的觀點,即非it人員無法被訓練成時刻考慮到資訊保安的程度。認為安全培訓無用的言論中,有一條是說,企業裡總會有那麼乙個「足夠蠢」的員工會開啟病毒郵件。我覺得這是一種相當消極的想法,在談論到所謂的「愚蠢使用者」時,it技術人員好像把自身擺在了乙個崇高的皇室地位上一樣。我們應該意識到,實際上我們這些it技術人員才是最愚蠢的,是這些人用錯誤的培訓方法和過時的培訓內容對員工們進行培訓,並把同事都當做二等公民一樣對待,導致了企業面臨各種各樣的安全風險。雖然從概率理論上講,乙個大型企業裡,確實會有某個甚至幾個員工落入黑客巧妙編制的釣魚陷阱中,但這並不能成為it專家們放棄對員工進行安全意識培訓的理由。如果按照這個理論,我們乾脆連基本的反病毒軟體、入侵檢測系統、防火牆或其它任何安全技術都不要採用了,因為黑客總有辦法繞過這些防護屏障。
另外,不要過多的考慮安全意識培訓做不到的事情,相反,要多想想這樣的培訓能帶來什麼好處,比如對於企業風險管理的好處。所有it安全專家的首要任務都是盡量降低企業的it風險。和面對其它所有風險一樣,我們永遠無法避免人為因素造成的安全風險。而良好的安全意識培訓課程能夠讓企業降低人為因素所帶來的安全風險,尤其是釣魚型別攻擊和惡意軟體的風險。
讓課程中肯,適用和互動
michael santarcangelo是一位著名的主動意識倡導者,他對於安全意識的定義為:「個人意識到自己的行為所導致的後果,包括行為意圖和影響」。大多數人並不理解自己的上網行為與所導致的對個人潛在的負面影響結果之間的必然聯絡。如果安全意識培訓課程僅僅是告訴員工哪些事情做得不對,並不能起到明顯的改善作用,或者說員工不一定能接受。我們必須找到真正致力於安全辦公方面的專業教練。
通過適當的具有互動性的範例來授課並展開討論,會讓企業員工建立起一套正確的思維過程和決策的框架,從而讓員工的網路行為更加安全。令所有員工都安全起來,才能讓他們不被黑客當做釣魚目標。另外要鼓勵員工在上網時用更加謹慎的態度進行網路瀏覽,這可以有效降低網路威脅的發生率。同時這種鼓勵也是在實施和改進安全意識培訓課程中的一種催化劑。
安全意識的培訓應該作為企業一種根深蒂固的文化,而不是每年一次的例行工作。比如可以每月舉辦一次關注於家庭電腦使用安全方面的午餐會,在公司的內網上專門開闢乙個空間用來宣傳安全意識,或每週給員工們傳送一封資訊保安提示方面的郵件等。這種定期的提示會鞏固員工的安全意識和培訓成果,並最終實現全員整體安全意識的大幅度提公升。
安全意識培訓本身並不能給企業帶來足夠的安全防護能力,但是結合適當的方法和安全解決方案,將會大幅度提公升企業的安防水平,降低企業所面臨的風險,實現企業多年來努力希望實現的更加安全可靠的網路環境。通過改變安全意識培訓課程的內容和教學方法,企業的競爭優勢將明顯提公升。因此培訓老師絕對應該調整培訓的態度,記住要讓每個員工都獲得足夠的尊重,因為員工對於企業的意義遠不止確保安全辦公和安全上網這一點。
下面的一些技巧將幫助企業建立一套吸引人的安全意識培訓課程。
1、有明確的教學核心
目標 簡單而有效的常識管理
三個衡量指標 有效產出 存貨 營運費用 有效產出,就是整個系統透過銷售而獲得金錢的速度。存貨,也就是整個系統投資在採購上的金錢,而採購的是我們打算賣出去的東西。營運費用,就是系統為了把存貨轉為有效產出而花的錢。有效產出最重要,然後就是存貨,因為存貨會影響有效產出,最後才是營運費用 步驟一 找出系統的...
有效的資訊保安意識培訓
為什麼要做安全意識培訓?安全意識培訓的結果是一大堆文件,但是對企業員工來說沒有根本的意義,資料洩露事件 攻擊事件依然發生,一方面除了是安全建設存在問題,另一方面主要是我們資訊部門的工程師大部分是網路工程師出生,對安全的理解大部分停留在防火牆層面,而企業更加注重技能培訓,對意識培訓不是很重視,也不太想...
企業安全管理實踐 有效提公升安全能力
安全管理人員需要負責提高企業的安全監控 分析 操作和業務支援。他們面臨的最大挑戰之一是實現更多的效果,特別是面對近期增加的資料洩露風險以及攻擊者繞過現有安全控制的能力,作為企業的安全管理人員,他們應該怎麼做呢?通常情況下,安全有效性是由企業阻止已知和未知威脅的能力來衡量。為了防止攻擊者利用漏洞來發動...