566 views

当我们谈论“安全意识”时,我们在谈论什么?

在个人信息安全意识方面,企业员工普遍有一种蜜汁自信,就像90%的司机都认为自己的驾驶水平高于平均水平一样。
本文会结合在企业做员工“信息安全意识教育”的经历,讲一下我对“安全意识”的理解、“安全意识教育”的价值和意义以及企业“安全意识教育”的一些实践策略。本文讨论的安全意识教育主要指“安全管理与员工行为”方面。

说“信息安全意识”之前,我们首先要了解信息安全的目标是什么?正如孙维的《雪夜围炉话安全》中说的那样,信息安全的目标是“风险控制”,就是用有限的资源投入将我们面临的各种信息安全风险降低到可以接受的范围内

0x01 什么是“安全意识”

那在安全体系建设的建设中,“安全意识教育”是应该贯穿始终的,而且是性价比极高的一种安全投入。开展门槛极低,低到有一位靠谱的安全工程师就可以了,效果好的话可以大大减少员工在信息安全这块的无意识犯错,具体的案例我们稍后再提。
那么什么是“安全意识”,当我们谈论“安全意识”时,我们在谈论什么?这里可以先看一个16秒的生活实例(小视频链接):

image

image

image
小视频里大致讲的是“一位车主在高速上突然遇到前方大规模减速,然后在注意到后方有大载重量货车时,及时旁移规避,从而保护了自己的人车安全”,这就是一位老司机基于自身的安全意识救了自己的故事。日常生活中很多地方会涉及安全意识,比如滴滴打车上车前确认一下车牌号与APP上显示的是否一致。 百度百科上说“所谓安全意识,就是人们头脑中建立起来的生产必须安全的观念。人们在生产活动中,对各种各样可能对自己或他人造成伤害的外在环境条件的一种戒备和警觉的心理状态。” 而按照我的理解:

安全意识就是“对风险的感知和主动规避”

这里的“规避”是指遵守规则的避开,设法躲避。

0x02 “信息安全意识教育”的价值和意义

在生活中,由于涉及到人身财产安全,人们通常会比较注意和警惕。而在个人信息安全意识这块,企业员工普遍有一种蜜汁自信,就像90%的司机都认为自己的驾驶水平高于平均水平一样,大多数企业员工也会认为自己安全意识挺好的,这往往是由于他们对“各类信息安全威胁和风险”没有清晰的认识和了解。事实是在工作中,由于信息安全意识的淡薄,发生的各类信息安全事故中大部分反而是由内部员工的疏忽或有意泄露造成的,比如 “XX企业XX单位员工利用职务之便帮人付费查询公民行车信息、社保信息等”、“员工用主管帐号批量导出客户数据售卖”、“员工将公司人事资料、设计稿、代码等上传网络”、“员工被钓鱼中招后邮箱内大量业务资料泄露”、“员工离职后为报复登录原团队公众号发表《主管XX不为人知的一面》负面文章”以及最近报道的的“XX公司内鬼向公司服务器植入DDoS木马接单犀利” 等。归根到底来说,信息安全问题的根源是因为“人是复杂的”

而在企业进行“信息安全意识教育”的最大的作用就是让员工明白在工作中“哪些可为哪些不可为哪些操作是有风险的需要合理规避”,从而降低员工的“无意识犯错”

注意这里首先说的是降低“无意识犯错”,比如提高员工防范钓鱼的意识、工作帐号不允许共享、工作计算机加域等,而对于蓄意的“有意识犯错”,仅靠安全意识教育作用相对比较有限。
在整套安全意识体系建设上,可以参考唯品会安全团队分享的干货《唯品会信息安全培训体系》。在员工信息安全问题的解决上能将安全与便捷平衡好真的很难得,阿里的这篇《阿里上班不打卡,任性进内网,全靠一个“男人”》可以参考。

0x03 企业“信息安全意识教育”的一些实践策略

“信息安全意识教育”在形式上通常有:定期的安全意识培训、安全意识考核、日常的邮件或企业公众号推送、海报以及墙贴等。

那么问题来了,如果是面向员工做线下培训,只讲1小时,最应该讲什么?(尤其是针对新员工的首次信息安全意识培训)

我的答案是讲“案例”,讲一些行业或者企业内真实发生的由于员工的疏忽或有意泄露造成的各种信息安全案例,理由很简单,如果你考过驾照的话,你就会知道备考期间,车管所放的教育视频全都是严重的交通事故案例,因为只有真实的事故才能给人最直观的感受和提醒。需要注意一点,在案例的选择上,内部培训为了避嫌可以讲其他单位的例子,如果是讲自己公司的真实案例,通常不要指名道姓,重点放在案例的认识和解读上即可,避免不必要的麻烦。而一些规章制度方面的比如“不准干这个、不准干那个” ,放在线下的安全意识培训上,效果不好,听众也提不起兴趣。这部分内容可以放在类似《员工守则》或者《员工信息安全守则》上,结合考核题目,督促员工去学习和复习
需要明确的一点,针对实际的案例,不光是案例本身,在引申和解读上要讲清楚概念,不要含糊,然后通过强调后果以及惩罚措施引起员工重视。比如一个案例是“某员工泄露了某项目设计稿导致公司受到多少损失然后个人也被开除”,在案例解读上,你首先要讲清楚什么是“商业秘密”,如果不说的话,结合案例可能观众只能联想到源代码、设计稿,其实商业秘密可以分为“技术信息”与“经营信息”。

技术信息:源代码、生产配方、工艺流程、设计图纸等;
经营信息:管理方法、产销策略、客户名单、货源情报等。

概念上要清晰易懂让员工清楚明白,因为对于不明白的事情,人们通常都会当它不存在。后果也要强调,比如“员工犯错时根据事故情况,降薪10%、调岗甚至开除,如果情节严重触犯法律将受到法律制裁等等”。让听众意识到这些和个人利益切身相关从而主动去了解和关注,否则真的就当故事听了。
通过“真实案例解读”引起员工重视后,各种安全风险的具体防范办法,可以放在课下去解决,比如通过不同岗位线上课程、企业公众号文章推送、日常海报和墙贴等,并通过相应的考核去督促掌握。如果信息安全比较受重视,安全部门比较强势,时机成熟后也可以将信息安全考核纳入员工KPI。因为我觉得教育不只是知识的传递,更重要的是让听讲的人能够内化并学以致用,要看疗效。

0x04 结语

个人认为 “企业信息安全意识培训”应该是员工的职场必修课,好的安全意识也是员工优秀职场素养的体现。“安全意识教育”是应该贯穿始终的,而且是性价比极高的一种安全投入。而在安全投入上,企业应该“算总账”而不是“算细账”,企业内部安全体系建设属于“成本中心”,而这部分的投入会在其他方面获得收益,在总账上是物超所值的。
在个人的信息安全意识培养上,有没有适合全体员工看的有趣的配合真实案例解读的关于企业员工信息安全的能快速上手的的科普读物呢 ?我找了很久,这本谈剑峰的 《办公安全演义》 除了以小故事与漫画的形式给我们解读职场中的各种信息安全场景案例,对于目前安全管理还不太规范的企业,这本书也能告诉我们,如何以最小的管理代价,提升信息资产防护能力。推荐给大家。
image

参考资料

  1. 《办公安全演义》
  2. 安全摘记:关于安全与黑客
  3. 雪夜围炉话安全(一)
  4. 唯品会信息安全培训体系
  5. 阿里上班不打卡,任性进内网,全靠一个“男人”?!
  6. 遇见钓鱼欺诈站点,我选择“举报”
  7. [翻译]安全意识培训如何保护小企业
  8. 我眼中的信息安全意识教育体系
  9. 猪八戒-安全意识宣传手册

转载请注明出处 :sosly 菜鸟笔记
https://sosly.me/index.php/2017/07/30/anquanyishi/

也欢迎关注微信公众号:sosly菜鸟笔记
sosly菜鸟笔记微信公众号

发表评论

电子邮件地址不会被公开。 必填项已用*标注