2019年05月05日
很多企業(yè)安全部門(mén)可能因?yàn)閷㈩A(yù)算和資源都投入到軟/硬件安全解決方案的采購(gòu)與部署,側(cè)重技防,而選擇性忽略或者根本沒(méi)有更多預(yù)算投入人防。實(shí)際上人防與技防處于同等重要的位置,基于技術(shù)的解決方案能夠覆蓋的領(lǐng)域是有限的,即使企業(yè)花了很多錢(qián)來(lái)構(gòu)建安全防線(xiàn),有時(shí)候一個(gè)來(lái)自?xún)?nèi)部人員的小錯(cuò)誤就可能將企業(yè)置于岌岌可危的境地。
從攻擊端來(lái)看,攻擊者越來(lái)越重視終端用戶(hù)的行為心理研究,不斷通過(guò)各種方法繞過(guò)企業(yè)的安全防御策略來(lái)達(dá)到目的,水坑式攻擊和魚(yú)叉式釣魚(yú)攻擊是兩種典型的方式。
要建好“人民防線(xiàn)”,離不開(kāi)良好的人員操作機(jī)制和安全意識(shí)提升計(jì)劃。通過(guò)制定周密的安全意識(shí)提升項(xiàng)目,員工能夠主動(dòng)擔(dān)負(fù)起責(zé)任,更好地保護(hù)企業(yè)數(shù)字資產(chǎn)和識(shí)產(chǎn)權(quán)。此外,從更高的角度來(lái)看,員工還能將所學(xué)的安全知識(shí)延伸到個(gè)人生活中,使得更多的家庭受益。
2016年,Gartner曾發(fā)布了一篇安全指南,提出了一些幫助中小型企業(yè)在預(yù)算十分緊張的情況下提升員工安全意識(shí)的建議。三年過(guò)去了,網(wǎng)絡(luò)空間的形態(tài)發(fā)生了很多變化,因此Gartner的安全專(zhuān)家重寫(xiě)了這篇指南,提出了幾種簡(jiǎn)單可行、立竿見(jiàn)影的方法,仍堅(jiān)持“調(diào)動(dòng)最少的資源”這一原則。
方法一、簡(jiǎn)單明了的消息通知
(1) 內(nèi)網(wǎng)橫幅
采用網(wǎng)絡(luò)廣告的思路在企業(yè)內(nèi)部網(wǎng)頁(yè)頂端添加橫幅,推進(jìn)安全意識(shí)的樹(shù)立和安全消息的傳達(dá)能力。
(2) 登錄消息
諸如Microsoft Word和Unix等應(yīng)用和操作系統(tǒng)為管理員提供了系統(tǒng)登錄時(shí)發(fā)送消息的通道。管理員可以自定義消息推送以提醒用戶(hù)要遵守哪些安全要求、推送最新的安全提示或傳輸任何可以強(qiáng)化安全能力的消息。不過(guò)要注意信息要保持簡(jiǎn)短且不要經(jīng)常發(fā)送,如果信息很復(fù)雜或者持續(xù)推送會(huì)降低它對(duì)用戶(hù)產(chǎn)生的印象,并且在部分國(guó)家和地區(qū)可能存在違反法律規(guī)定的風(fēng)險(xiǎn)。
(3) “阻止的站點(diǎn)”頁(yè)面
限制員工訪(fǎng)問(wèn)各類(lèi)網(wǎng)站(包括社交媒體、搜索、購(gòu)物等正規(guī)網(wǎng)站)或阻止訪(fǎng)問(wèn)被視為有風(fēng)險(xiǎn)的網(wǎng)站是一種企業(yè)內(nèi)部常見(jiàn)的安全策略。不過(guò)要注意不要只使用Web屏蔽服務(wù)供應(yīng)商提供的默認(rèn)“阻止的站點(diǎn)”頁(yè)面,只寫(xiě)一句“違反企業(yè)安全策略”。最好在頁(yè)面上為被阻止的網(wǎng)站創(chuàng)建自定義消息,告知用戶(hù)不能訪(fǎng)問(wèn)該網(wǎng)站的原因。用好“阻止的站點(diǎn)”,為員工提供額外內(nèi)容供他們閱讀或查看以及相關(guān)聯(lián)系人的信息,這樣可以創(chuàng)造一個(gè)很好的主動(dòng)學(xué)習(xí)機(jī)會(huì)。
方法二、各種類(lèi)型的會(huì)議
(1) 遠(yuǎn)程培訓(xùn)
如果企業(yè)規(guī)模比較大,將所有員工集中到一起進(jìn)行培訓(xùn)不方便,可以開(kāi)展在線(xiàn)視頻培訓(xùn),員工無(wú)需離開(kāi)辦公桌即可參與,一般適用于分享安全提示、進(jìn)行問(wèn)答等簡(jiǎn)單的安全培訓(xùn)活動(dòng)。
(2) 與安全主管共進(jìn)午餐
與安全管理人員一起舉辦午餐會(huì)是向特定受眾傳達(dá)關(guān)鍵信息的簡(jiǎn)單且有效的方式,從另外一個(gè)層面看,真人討論也能提升員工的參與度。
(3) 行業(yè)專(zhuān)家現(xiàn)場(chǎng)培訓(xùn)
邀請(qǐng)外部行業(yè)專(zhuān)家(如執(zhí)法部門(mén)或?qū)I(yè)公司)進(jìn)行現(xiàn)場(chǎng)演示,為觀眾提供與安全行業(yè)領(lǐng)袖和從業(yè)者互動(dòng)的機(jī)會(huì)。邀請(qǐng)的行業(yè)專(zhuān)家可以通過(guò)講故事分享真實(shí)的信息和經(jīng)驗(yàn),讓整體內(nèi)容更加有趣,更能吸引觀眾。
方法三、增加安全專(zhuān)家的出鏡率
(1) 拍攝短視頻
企業(yè)內(nèi)部安全專(zhuān)家可以嘗試拍攝一些針對(duì)特定主題來(lái)拍攝一些小視頻,每次講解一個(gè)問(wèn)題并提供解決方法,清晰、有意識(shí)地傳達(dá)消息,拉動(dòng)員工與企業(yè)內(nèi)部安全人員的距離。增強(qiáng)安全專(zhuān)家的出鏡率有助于提升員工對(duì)專(zhuān)家的熟悉度,從而增加視頻的點(diǎn)擊率和未來(lái)線(xiàn)下會(huì)議的參與率。這些視頻可以存放在內(nèi)網(wǎng)主頁(yè)的某個(gè)固定區(qū)域。
(2) 專(zhuān)門(mén)的溝通郵箱
企業(yè)可以在內(nèi)部設(shè)置一個(gè)專(zhuān)門(mén)用于安全問(wèn)題的郵箱,保持與員工的持續(xù)溝通渠道,提供必要的信息交流。該郵箱可用于解答安全問(wèn)題或提供反饋。然后,郵箱的管理人員可以將問(wèn)題與解答定時(shí)上傳至企業(yè)內(nèi)部的常見(jiàn)安全問(wèn)題與解答頁(yè)面。這種方式不用與人面對(duì)面進(jìn)行交流,是一種低投入的互動(dòng)形式,對(duì)于部分員工可能更有吸引力。
(3) 布置安全專(zhuān)家的工位
可以將安全專(zhuān)家的工位布置得更加開(kāi)放,增加飲食供應(yīng)和舒適的座椅等,從形式上鼓勵(lì)員工坐下來(lái)與安全專(zhuān)家聊一聊,在舒適的環(huán)境中員工會(huì)更愿意發(fā)言并提出一些關(guān)鍵問(wèn)題。除了被動(dòng)接受員工的咨詢(xún)外,也可以主動(dòng)發(fā)送座談的邀請(qǐng)。
(4) 寫(xiě)博客
寫(xiě)博客是一種增加長(zhǎng)期關(guān)注者的方式,還能鞏固安全專(zhuān)家在相關(guān)領(lǐng)域的權(quán)威性。寫(xiě)博客是建議不要特別高瞻遠(yuǎn)矚,最好的方式就是“保持真實(shí)”,要有故事,有細(xì)節(jié),增加員工的代入感,有助于建立長(zhǎng)期聯(lián)系,推進(jìn)員工安全意識(shí)的培養(yǎng)。其次,博客篇幅不必很長(zhǎng),在講清事情的前提下越短越好。
方法四、讓員工多多參與
(1) 攝影比賽
企業(yè)可以通過(guò)一些并非很直接、接地氣的活動(dòng)從側(cè)面推進(jìn)員工安全意識(shí)的培養(yǎng)。比如舉辦攝影比賽,流程比較簡(jiǎn)單,用戶(hù)體驗(yàn)也很友好,能夠接觸和吸引各個(gè)部門(mén)的員工。攝影比賽可以圍繞安全主題設(shè)定比賽目標(biāo)和規(guī)則,比如讓員工提供能夠表現(xiàn)安全的照片。讓企業(yè)高管參與可以大大提升活動(dòng)的影響力,也可以表現(xiàn)高管對(duì)于安全的重視程度。此外,此類(lèi)活動(dòng)的宣傳力度要廣要大,除了群發(fā)電子郵件這種公共方式之外,還可以通過(guò)管理層通道在開(kāi)例會(huì)時(shí)進(jìn)行重點(diǎn)強(qiáng)調(diào)。當(dāng)然,獎(jiǎng)品的好壞也直接決定了活動(dòng)能夠吸引到的人數(shù)和質(zhì)量。
(2) 安全小站
安全小站的形式可以是一個(gè)公共的展示和互動(dòng)區(qū)域,可以提供部分經(jīng)過(guò)處理的數(shù)據(jù)圖表讓員工更直觀地看到安全態(tài)勢(shì),如果能夠提供模擬安全攻防的互動(dòng)項(xiàng)目或者小游戲那就更好了,比如在看到勒索軟件在電腦上肆虐時(shí)該如何進(jìn)行適當(dāng)?shù)难a(bǔ)救,高互動(dòng)的形式能夠讓參與者更加投入來(lái)解決安全問(wèn)題。
(3) 攻防競(jìng)賽
根據(jù)企業(yè)的自身情況,可在嚴(yán)格限定范圍和手段的情況下開(kāi)展一系列網(wǎng)絡(luò)攻防競(jìng)賽。比如針對(duì)企業(yè)員工面臨的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)——釣魚(yú)郵件,開(kāi)展競(jìng)賽。比賽可分為攻擊者和防御者,攻擊者對(duì)防御者進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊,而防御者則要在處理海量的郵件是避免踩坑,成功次數(shù)最多的攻擊者和踩坑最少的防御者均能獲得企業(yè)的獎(jiǎng)勵(lì)。要注意競(jìng)賽的手段和分寸,明確與企業(yè)正常業(yè)務(wù)的邊界。
(4) 將安全延伸到私人時(shí)間
可以讓員工攜帶不再使用、準(zhǔn)備丟棄的老舊設(shè)備到公司,由安全專(zhuān)家說(shuō)明和指導(dǎo)如何抹去個(gè)人信息,消除丟棄或者轉(zhuǎn)賣(mài)時(shí)造成的安全風(fēng)險(xiǎn),以后在處理客戶(hù)或者企業(yè)的數(shù)據(jù)時(shí)也該采取相同的行動(dòng)。
方法五、正面激勵(lì)
(1) 正面反饋員工的進(jìn)步
當(dāng)企業(yè)高級(jí)管理層看到員工在保障企業(yè)安全時(shí)做出的努力和成果時(shí),可以通過(guò)頒發(fā)獎(jiǎng)狀、留下手寫(xiě)消息卡片、通過(guò)電子郵件發(fā)送感謝信、提供禮品卡來(lái)獎(jiǎng)勵(lì)這些員工,感謝他們的安全行為,加強(qiáng)員工在企業(yè)安全建設(shè)過(guò)程中的主觀能動(dòng)性。
(2) 建立積分規(guī)則
建立積分規(guī)則的目的是推行長(zhǎng)期的獎(jiǎng)勵(lì)計(jì)劃,該計(jì)劃向員工授予可用于在企業(yè)內(nèi)部商店或者外部供應(yīng)商處購(gòu)買(mǎi)商品的積分。這種持續(xù)的獎(jiǎng)勵(lì)系統(tǒng)能夠不斷激勵(lì)員工,構(gòu)建長(zhǎng)期的安全意識(shí),表達(dá)對(duì)員工感謝。
(3) 給與虛擬的勛章
如果企業(yè)的內(nèi)部通信或者協(xié)作軟件支持虛擬勛章或者自定義頭像的話(huà),可以給與積極參與企業(yè)安全建設(shè)的員工開(kāi)通虛擬安全勛章。雖然這種形式并不能給員工帶來(lái)任何實(shí)際的獎(jiǎng)勵(lì),但是可以推動(dòng)安全意識(shí)的發(fā)展。
(4) 與CEO共進(jìn)午餐
員工與CEO或其他高級(jí)管理人員面對(duì)面相處的時(shí)間可能很少。企業(yè)可向員工提供與CEO或平時(shí)比較少見(jiàn)的管理層人員共進(jìn)午餐的機(jī)會(huì),以表明高層對(duì)于安全建設(shè)的重視。可以同時(shí)邀請(qǐng)數(shù)名員工共進(jìn)午餐,不設(shè)置任何正式議程,員工可以提出問(wèn)題并了解企業(yè)領(lǐng)導(dǎo)和其他情況。
(5) 提拔做得好的員工
業(yè)務(wù)負(fù)責(zé)人可以將在企業(yè)安全建設(shè)中表現(xiàn)好的員工提拔至安全運(yùn)營(yíng)領(lǐng)導(dǎo)者的角色,賦予業(yè)務(wù)流程中的更多的安全話(huà)語(yǔ)權(quán)并加強(qiáng)其領(lǐng)導(dǎo)力。企業(yè)可以將這一環(huán)節(jié)添加到KPI考核機(jī)制中的加分部分,在晉升評(píng)定中給與看得見(jiàn)的積極反饋,并在企業(yè)內(nèi)部通報(bào)結(jié)果,為員工參與安全建設(shè)添加更多動(dòng)力。
方法六、保持頭腦清醒
(1) 安全日歷
通過(guò)電子郵件、海報(bào)、內(nèi)網(wǎng)消息或上文中提到的內(nèi)網(wǎng)橫幅等渠道定期推送的簡(jiǎn)短安全提示,通知目前流行的安全威脅和公司可能面臨安全事件。并與公司內(nèi)部的數(shù)字營(yíng)銷(xiāo)團(tuán)隊(duì)合作,通過(guò)點(diǎn)擊率了解數(shù)字流量和員工的關(guān)注度。
(2) 梳理談話(huà)要點(diǎn)
安全專(zhuān)家可以為管理人員一份備注清單,用于在團(tuán)隊(duì)會(huì)議中加強(qiáng)安全信息內(nèi)容部分。安全建設(shè)的核心內(nèi)容應(yīng)當(dāng)保持一致,但每位團(tuán)隊(duì)管理者都可以根據(jù)各自團(tuán)隊(duì)文化進(jìn)行自定義。
(3) 假想練習(xí)
團(tuán)隊(duì)領(lǐng)導(dǎo)可以在內(nèi)部會(huì)議期間提出一些安全威脅的假象情況,讓大家一起討論。通過(guò)傾聽(tīng)對(duì)話(huà),團(tuán)隊(duì)領(lǐng)導(dǎo)可以判斷團(tuán)隊(duì)是否理解他們?cè)诒Wo(hù)企業(yè)安全方面的責(zé)任,并且可以在他們識(shí)別問(wèn)題時(shí)提供額外的幫助和培訓(xùn)。這種方法也是促進(jìn)合作思維的好途徑,使得員工在安全的群體環(huán)境中表達(dá)想法和落實(shí)行動(dòng)。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢(xún)、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。