科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理注重人与风险管理:企业安全培训不是鸡肋

注重人与风险管理:企业安全培训不是鸡肋

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

大部分信息安全策略(甚至是某些法规)都规定企业应该对员工强制进行某种程度的安全意识教育。但不幸的是,这种强制的安全培训课程在员工看来是一种干扰,会让员工的工作情绪受到影响,同时也会让企业丧失改变这种状况的最佳机会。

来源:ZDNET安全频道 2012年1月31日

关键字: 安全培训 风险管理

  • 评论
  • 分享微博
  • 分享邮件

  ZDNET至顶网安全频道 1月31日 编译:在对待IT安全培训的态度上,企业的IT安全专家们一般可分为两类:一类专家认为安全意识培训课程很有必要,另一类则认为对员工进行安全意识教育完全是浪费时间。其实,企业对员工进行的安全意识培训课程不但是现实情况的要求,而且也是企业提高竞争力,与其它竞争对手相区别的一个重要特征。理论上,安全意识培训是个好主意,但是和很多好主意一样,如果实施的不到位,好主意也会变得没有效果甚至真的成了浪费时间的事情。

  对于当前的企业信息安全窘境,很多人都指责是由于企业过分的依赖于安全软件厂商提供的过于老旧的技术(比如反病毒特征码),而安全软件厂商没有及时根据新的威胁改进安全解决方案。当然,这是一个挺合理的解释,但是另一方面讲,企业的IT专家们也应该负有同样的责任,因为他们没有为企业员工提供新安全环境下的安全培训课程(当然也还有其它很多因素,但是本文不作讨论)。如果我们这些IT专家还在拿九十年代的IT安全知识来教育现在的企业员工,还有什么理由去责怪安全软件厂商不及时更新技术呢?也许大家都听到过这样的安全教育:“要确保安全,就只访问大型网站”或“不要去成人网站,否则会中毒”。大多数企业对员工进行的安全意识培训,课程的主干都是围绕着一系列“能做什么”和“不能做什么”展开的。 现在,是时候让我们重新考虑安全培训课程的内容和教学方式了,不论是内容还是教学方式都应该进行升级,才能符合当今企业员工的实际工作情况。

  丢掉“用户”这个词

  不知企业的IT部门什么时候开始将自己和其他员工用“我们”和“他们”这种方式分开的,但是这种情况必须马上停止。为什么IT专家在说他们的同事时,总是用“用户”这个词呢(而且通常说这个词的时候都带着鄙夷和不屑的态度)。这个词并不意味着什么,但是却会导致部门间的分裂、不信任、以及怨恨情绪在IT部门和企业其他部门间弥漫。而要纠正这种错误,IT专家们需要为了企业未来更好的发展,从内心真切的与其他部门的员工交流。对于任何企业来说,人都是最宝贵的财富,因此确保他们能够安全的工作,企业才能有信心实现长远的发展。改掉这个不良的习惯,最终会让企业变得更强大,更具竞争力。

  抛开消极心态

  在IT圈里有一个流传很广的观点,即非IT人员无法被训练成时刻考虑到信息安全的程度。认为安全培训无用的言论中,有一条是说,企业里总会有那么一个“足够蠢”的员工会打开病毒邮件。我觉得这是一种相当消极的想法,在谈论到所谓的“愚蠢用户”时,IT技术人员好像把自身摆在了一个崇高的皇室地位上一样。我们应该意识到,实际上我们这些IT技术人员才是最愚蠢的,是这些人用错误的培训方法和过时的培训内容对员工们进行培训,并把同事都当做二等公民一样对待,导致了企业面临各种各样的安全风险。虽然从概率理论上讲,一个大型企业里,确实会有某个甚至几个员工落入黑客巧妙编制的钓鱼陷阱中,但这并不能成为IT专家们放弃对员工进行安全意识培训的理由。如果按照这个理论,我们干脆连基本的反病毒软件、入侵检测系统、防火墙或其它任何安全技术都不要采用了,因为黑客总有办法绕过这些防护屏障。

  另外,不要过多的考虑安全意识培训做不到的事情,相反,要多想想这样的培训能带来什么好处,比如对于企业风险管理的好处。所有IT安全专家的首要任务都是尽量降低企业的IT风险。和面对其它所有风险一样,我们永远无法避免人为因素造成的安全风险。而良好的安全意识培训课程能够让企业降低人为因素所带来的安全风险,尤其是钓鱼类型攻击和恶意软件的风险。

  让课程中肯,适用和互动

  Michael Santarcangelo是一位著名的主动意识倡导者,他对于安全意识的定义为:“个人意识到自己的行为所导致的后果,包括行为意图和影响”。大多数人并不理解自己的上网行为与所导致的对个人潜在的负面影响结果之间的必然联系。如果安全意识培训课程仅仅是告诉员工哪些事情做得不对,并不能起到明显的改善作用,或者说员工不一定能接受。我们必须找到真正致力于安全办公方面的专业教练。

  通过适当的具有互动性的范例来授课并展开讨论,会让企业员工建立起一套正确的思维过程和决策的框架,从而让员工的网络行为更加安全。令所有员工都安全起来,才能让他们不被黑客当做钓鱼目标。另外要鼓励员工在上网时用更加谨慎的态度进行网络浏览,这可以有效降低网络威胁的发生率。同时这种鼓励也是在实施和改进安全意识培训课程中的一种催化剂。

  安全意识的培训应该作为企业一种根深蒂固的文化,而不是每年一次的例行工作。比如可以每月举办一次关注于家庭电脑使用安全方面的午餐会,在公司的内网上专门开辟一个空间用来宣传安全意识,或每周给员工们发送一封信息安全提示方面的邮件等。这种定期的提示会巩固员工的安全意识和培训成果,并最终实现全员整体安全意识的大幅度提升。

  安全意识培训本身并不能给企业带来足够的安全防护能力,但是结合适当的方法和安全解决方案,将会大幅度提升企业的安防水平,降低企业所面临的风险,实现企业多年来努力希望实现的更加安全可靠的网络环境。通过改变安全意识培训课程的内容和教学方法,企业的竞争优势将明显提升。因此培训老师绝对应该调整培训的态度,记住要让每个员工都获得足够的尊重,因为员工对于企业的意义远不止确保安全办公和安全上网这一点。

  下面的一些技巧将帮助企业建立一套吸引人的安全意识培训课程。

  有明确的教学核心

  当你打算建立一套优秀的安全意识培训课程时,首先要明确授课的核心内容。一个明确的授课核心对象,能够让你更好的设计授课幻灯片,也会让你的课程时刻围绕着焦点进行。你可以经常用学员们将要学到的内容或将要掌握的态度为核心内容。比如,可以先写上“在这一课结束后,学员们将…”然后跟上类似于下面这样的句子:

  · “… 将会建立一个安全的密码。”

  · “… 将会识别出钓鱼邮件。”

  · “… 将会知道在社交网站随意公布个人信息的潜在风险。”

  根据这些核心内容,还可以检验安全意识培训课程的总体成果。

  提供一些可以同时用于工作环境和家庭环境的安全建议

  随着互联网的发展,办公和个人生活之间的界线变得越来越不明显了,因此你所进行的安全意识培训课程不应该直涉及办公环境的信息安全,而应该同时能够涵盖到员工在家上网时的安全防护。因此,要尝试着将办公环境的安全意识培训与员工在个人环境的安全需求联系起来,并让员工明白安全培训能给他们在家上网带来什么样的好处。通过这种方式,你不但可以开发出吸引员工的课程,还可以让企业的整体安全水平有明显的提升。

  提供整套信息

  你的安全意识培训课程不应该直引用各种抽象的数据,而是要教会学员为了实现安全办公而必须使用的各种安全工具。比如,如果你希望让学员们掌握正确使用密码的方法,你可以提供给学员一些创建强壮密码的策略,提供某种学员能很快学会的密码管理器,以及一旦他们发现自己的密码可能被盗,该找谁或者该怎么处理(不论是在家还是在办公室)等实际问题。

  所使用的材料必须可用

  不论你在授课时使用了什么材料,都应该让学员们能够及时获取。比如,如果你在企业内网上建立了一个安全意识培训方面的网页,应该确保网页能够随时打开,并且里面的内容保持更新。如果学员无法在网页上找到你刚刚讲过的某个内容,他们会觉得这个网页过时了,从而降低了对课程的兴趣。

  根据提问展开内容

  在授课期间,应该随时允许学员提问,而不是在每个课程的最后才给学员一些提问时间。如果学员提出问题,你应该将其视为一个良好的信号,代表学员被你的课程吸引,已经用心在听课了。由于时间的限制,你很可能无法完全解答学员们的问题,或者由于某些问题需要具体数据,你可能还要会去查阅资料,这都很正常。不论什么原因,你都要随时确保响应学员的提问,并且让课程处于不间断的对话过程。

  安全意识培训课程能够吸引用户,并让他们学会如何保护自己和自己的信息,这对于预防安全事故来说是非常重要的。所以千万不要让企业放弃这种简单而有效的提高安全水平的方法。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章