提高全員安全意識的6個方向
很多企業安全部門可能因為將預算和資源都投入到軟/硬件安全解決方案的采購與部署,側重技防,而選擇性忽略或者根本沒有更多預算投入人防。實際上人防與技防處於同等重要的位置,基於技術的解決方案能夠覆蓋的領域是有限的,即使企業花了很多錢來構建安全防線,有時候一個來自內部人員的小錯誤就可能將企業置於岌岌可危的境地。
從攻擊端來看,攻擊者越來越重視終端用戶的行為心理研究,不斷通過各種方法繞過企業的安全防禦策略來達到目的,水坑式攻擊和魚叉式釣魚攻擊是兩種典型的方式。
要建好“人民防線”,離不開良好的人員操作機制和安全意識提升計劃。通過制定周密的安全意識提升項目,員工能夠主動擔負起責任,更好地保護企業數字資產和識產權。此外,從更高的角度來看,員工還能將所學的安全知識延伸到個人生活中,使得更多的家庭受益。
2016年,Gartner曾發布了一篇安全指南,提出了一些幫助中小型企業在預算十分緊張的情況下提升員工安全意識的建議。三年過去了,網絡空間的形態發生了很多變化,因此Gartner的安全專家重寫了這篇指南,提出了幾種簡單可行、立竿見影的方法,仍堅持“調動最少的資源”這一原則。
方法一、簡單明了的消息通知
(1) 內網橫幅
采用網絡廣告的思路在企業內部網頁頂端添加橫幅,推進安全意識的樹立和安全消息的傳達能力。
(2) 登錄消息
諸如Microsoft Word和Unix等應用和操作系統為管理員提供了系統登錄時發送消息的通道。管理員可以自定義消息推送以提醒用戶要遵守哪些安全要求、推送最新的安全提示或傳輸任何可以強化安全能力的消息。不過要註意信息要保持簡短且不要經常發送,如果信息很復雜或者持續推送會降低它對用戶產生的印象,並且在部分國家和地區可能存在違反法律規定的風險。
(3) “阻止的站點”頁面
限制員工訪問各類網站(包括社交媒體、搜索、購物等正規網站)或阻止訪問被視為有風險的網站是一種企業內部常見的安全策略。不過要註意不要只使用Web屏蔽服務供應商提供的默認“阻止的站點”頁面,只寫一句“違反企業安全策略”。最好在頁面上為被阻止的網站創建自定義消息,告知用戶不能訪問該網站的原因。用好“阻止的站點”,為員工提供額外內容供他們閱讀或查看以及相關聯系人的信息,這樣可以創造一個很好的主動學習機會。
方法二、各種類型的會議
(1) 遠程培訓
如果企業規模比較大,將所有員工集中到一起進行培訓不方便,可以開展在線視頻培訓,員工無需離開辦公桌即可參與,一般適用於分享安全提示、進行問答等簡單的安全培訓活動。
(2) 與安全主管共進午餐
與安全管理人員一起舉辦午餐會是向特定受眾傳達關鍵信息的簡單且有效的方式,從另外一個層面看,真人討論也能提升員工的參與度。
(3) 行業專家現場培訓
邀請外部行業專家(如執法部門或專業公司)進行現場演示,為觀眾提供與安全行業領袖和從業者互動的機會。邀請的行業專家可以通過講故事分享真實的信息和經驗,讓整體內容更加有趣,更能吸引觀眾。
方法三、增加安全專家的出鏡率
(1) 拍攝短視頻
企業內部安全專家可以嘗試拍攝一些針對特定主題來拍攝一些小視頻,每次講解一個問題並提供解決方法,清晰、有意識地傳達消息,拉動員工與企業內部安全人員的距離。增強安全專家的出鏡率有助於提升員工對專家的熟悉度,從而增加視頻的點擊率和未來線下會議的參與率。這些視頻可以存放在內網主頁的某個固定區域。
(2) 專門的溝通郵箱
企業可以在內部設置一個專門用於安全問題的郵箱,保持與員工的持續溝通渠道,提供必要的信息交流。該郵箱可用於解答安全問題或提供反饋。然後,郵箱的管理人員可以將問題與解答定時上傳至企業內部的常見安全問題與解答頁面。這種方式不用與人面對面進行交流,是一種低投入的互動形式,對於部分員工可能更有吸引力。
(3) 布置安全專家的工位
可以將安全專家的工位布置得更加開放,增加飲食供應和舒適的座椅等,從形式上鼓勵員工坐下來與安全專家聊一聊,在舒適的環境中員工會更願意發言並提出一些關鍵問題。除了被動接受員工的咨詢外,也可以主動發送座談的邀請。
(4) 寫博客
寫博客是一種增加長期關註者的方式,還能鞏固安全專家在相關領域的權威性。寫博客是建議不要特別高瞻遠矚,最好的方式就是“保持真實”,要有故事,有細節,增加員工的代入感,有助於建立長期聯系,推進員工安全意識的培養。其次,博客篇幅不必很長,在講清事情的前提下越短越好。
方法四、讓員工多多參與
(1) 攝影比賽
企業可以通過一些並非很直接、接地氣的活動從側面推進員工安全意識的培養。比如舉辦攝影比賽,流程比較簡單,用戶體驗也很友好,能夠接觸和吸引各個部門的員工。攝影比賽可以圍繞安全主題設定比賽目標和規則,比如讓員工提供能夠表現安全的照片。讓企業高管參與可以大大提升活動的影響力,也可以表現高管對於安全的重視程度。此外,此類活動的宣傳力度要廣要大,除了群發電子郵件這種公共方式之外,還可以通過管理層通道在開例會時進行重點強調。當然,獎品的好壞也直接決定了活動能夠吸引到的人數和質量。
(2) 安全小站
安全小站的形式可以是一個公共的展示和互動區域,可以提供部分經過處理的數據圖表讓員工更直觀地看到安全態勢,如果能夠提供模擬安全攻防的互動項目或者小遊戲那就更好了,比如在看到勒索軟件在電腦上肆虐時該如何進行適當的補救,高互動的形式能夠讓參與者更加投入來解決安全問題。
(3) 攻防競賽
根據企業的自身情況,可在嚴格限定範圍和手段的情況下開展一系列網絡攻防競賽。比如針對企業員工面臨的主要網絡風險——釣魚郵件,開展競賽。比賽可分為攻擊者和防禦者,攻擊者對防禦者進行網絡釣魚攻擊,而防禦者則要在處理海量的郵件是避免踩坑,成功次數最多的攻擊者和踩坑最少的防禦者均能獲得企業的獎勵。要註意競賽的手段和分寸,明確與企業正常業務的邊界。
(4) 將安全延伸到私人時間
可以讓員工攜帶不再使用、準備丟棄的老舊設備到公司,由安全專家說明和指導如何抹去個人信息,消除丟棄或者轉賣時造成的安全風險,以後在處理客戶或者企業的數據時也該采取相同的行動。
方法五、正面激勵
(1) 正面反饋員工的進步
當企業高級管理層看到員工在保障企業安全時做出的努力和成果時,可以通過頒發獎狀、留下手寫消息卡片、通過電子郵件發送感謝信、提供禮品卡來獎勵這些員工,感謝他們的安全行為,加強員工在企業安全建設過程中的主觀能動性。
(2) 建立積分規則
建立積分規則的目的是推行長期的獎勵計劃,該計劃向員工授予可用於在企業內部商店或者外部供應商處購買商品的積分。這種持續的獎勵系統能夠不斷激勵員工,構建長期的安全意識,表達對員工感謝。
(3) 給與虛擬的勛章
如果企業的內部通信或者協作軟件支持虛擬勛章或者自定義頭像的話,可以給與積極參與企業安全建設的員工開通虛擬安全勛章。雖然這種形式並不能給員工帶來任何實際的獎勵,但是可以推動安全意識的發展。
(4) 與CEO共進午餐
員工與CEO或其他高級管理人員面對面相處的時間可能很少。企業可向員工提供與CEO或平時比較少見的管理層人員共進午餐的機會,以表明高層對於安全建設的重視。可以同時邀請數名員工共進午餐,不設置任何正式議程,員工可以提出問題並了解企業領導和其他情況。
(5) 提拔做得好的員工
業務負責人可以將在企業安全建設中表現好的員工提拔至安全運營領導者的角色,賦予業務流程中的更多的安全話語權並加強其領導力。企業可以將這一環節添加到KPI考核機制中的加分部分,在晉升評定中給與看得見的積極反饋,並在企業內部通報結果,為員工參與安全建設添加更多動力。
方法六、保持頭腦清醒
(1) 安全日歷
通過電子郵件、海報、內網消息或上文中提到的內網橫幅等渠道定期推送的簡短安全提示,通知目前流行的安全威脅和公司可能面臨安全事件。並與公司內部的數字營銷團隊合作,通過點擊率了解數字流量和員工的關註度。
(2) 梳理談話要點
安全專家可以為管理人員一份備註清單,用於在團隊會議中加強安全信息內容部分。安全建設的核心內容應當保持一致,但每位團隊管理者都可以根據各自團隊文化進行自定義。
(3) 假想練習
團隊領導可以在內部會議期間提出一些安全威脅的假象情況,讓大家一起討論。通過傾聽對話,團隊領導可以判斷團隊是否理解他們在保護企業安全方面的責任,並且可以在他們識別問題時提供額外的幫助和培訓。這種方法也是促進合作思維的好途徑,使得員工在安全的群體環境中表達想法和落實行動。
中安威士:保護核心數據,捍衛網絡安全
來源:網絡收集
提高全員安全意識的6個方向