導讀:安全意識培訓課程能夠吸引用戶,並讓他們學會如何保護自己和自己的信息,這對於預防安全事故來說是非常重要的。所以千萬不要讓企業放棄這種簡單而有效的提高安全水平的方法。
在對待IT安全培訓的態度上,企業的IT安全專家們一般可分爲兩類:一類專家認爲安全意識培訓課程很有必要,另一類則認爲對員工進行安全意識教育完全是浪費時間。其實,企業對員工進行的安全意識培訓課程不但是現實情況的要求,而且也是企業提高競爭力,與其它競爭對手相區別的一個重要特徵。理論上,安全意識培訓是個好主意,但是和很多好主意一樣,如果實施的不到位,好主意也會變得沒有效果甚至真的成了浪費時間的事情。
對於當前的企業信息安全窘境,很多人都指責是由於企業過分的依賴於安全軟件廠商提供的過於老舊的技術(比如反病毒特徵碼),而安全軟件廠商沒有及時根據新的威脅改進安全解決方案。當然,這是一個挺合理的解釋,但是另一方面講,企業的IT專家們也應該負有同樣的責任,因爲他們沒有爲企業員工提供新安全環境下的安全培訓課程(當然也還有其它很多因素,但是本文不作討論)。如果我們這些IT專家還在拿九十年代的IT安全知識來教育現在的企業員工,還有什麼理由去責怪安全軟件廠商不及時更新技術呢?也許大家都聽到過這樣的安全教育:“要確保安全,就只訪問大型網站”或“不要去成人網站,否則會中毒”。大多數企業對員工進行的安全意識培訓,課程的主幹都是圍繞着一系列“能做什麼”和“不能做什麼”展開的。現在,是時候讓我們重新考慮安全培訓課程的內容和教學方式了,不論是內容還是教學方式都應該進行升級,才能符合當今企業員工的實際工作情況。
丟掉“用戶”這個詞
不知企業的IT部門什麼時候開始將自己和其他員工用“我們”和“他們”這種方式分開的,但是這種情況必須馬上停止。爲什麼IT專家在說他們的同事時,總是用“用戶”這個詞呢(而且通常說這個詞的時候都帶着鄙夷和不屑的態度)。這個詞並不意味着什麼,但是卻會導致部門間的分裂、不信任、以及怨恨情緒在IT部門和企業其他部門間瀰漫。而要糾正這種錯誤,IT專家們需要爲了企業未來更好的發展,從內心真切的與其他部門的員工交流。對於任何企業來說,人都是最寶貴的財富,因此確保他們能夠安全的工作,企業纔能有信心實現長遠的發展。改掉這個不良的習慣,最終會讓企業變得更強大,更具競爭力。
拋開消極心態
在IT圈裏有一個流傳很廣的觀點,即非IT人員無法被訓練成時刻考慮到信息安全的程度。認爲安全培訓無用的言論中,有一條是說,企業裏總會有那麼一個“足夠蠢”的員工會打開病毒郵件。我覺得這是一種相當消極的想法,在談論到所謂的“愚蠢用戶”時,IT技術人員好像把自身擺在了一個崇高的皇室地位上一樣。我們應該意識到,實際上我們這些IT技術人員纔是最愚蠢的,是這些人用錯誤的培訓方法和過時的培訓內容對員工們進行培訓,並把同事都當做二等公民一樣對待,導致了企業面臨各種各樣的安全風險。雖然從概率理論上講,一個大型企業裏,確實會有某個甚至幾個員工落入***巧妙編制的釣魚陷阱中,但這並不能成爲IT專家們放棄對員工進行安全意識培訓的理由。如果按照這個理論,我們乾脆連基本的反病毒軟件、***檢測系統、防火牆或其它任何安全技術都不要採用了,因爲***總有辦法繞過這些防護屏障。
另外,不要過多的考慮安全意識培訓做不到的事情,相反,要多想想這樣的培訓能帶來什麼好處,比如對於企業風險管理的好處。所有IT安全專家的首要任務都是儘量降低企業的IT風險。和麪對其它所有風險一樣,我們永遠無法避免人爲因素造成的安全風險。而良好的安全意識培訓課程能夠讓企業降低人爲因素所帶來的安全風險,尤其是釣魚類型***和惡意軟件的風險。
讓課程中肯,適用和互動
Michael Santarcangelo是一位著名的主動意識倡導者,他對於安全意識的定義爲:“個人意識到自己的行爲所導致的後果,包括行爲意圖和影響”。大多數人並不理解自己的上網行爲與所導致的對個人潛在的負面影響結果之間的必然聯繫。如果安全意識培訓課程僅僅是告訴員工哪些事情做得不對,並不能起到明顯的改善作用,或者說員工不一定能接受。我們必須找到真正致力於安全辦公方面的專業教練。
通過適當的具有互動性的範例來授課並展開討論,會讓企業員工建立起一套正確的思維過程和決策的框架,從而讓員工的網絡行爲更加安全。令所有員工都安全起來,才能讓他們不被***當做釣魚目標。另外要鼓勵員工在上網時用更加謹慎的態度進行網絡瀏覽,這可以有效降低網絡威脅的發生率。同時這種鼓勵也是在實施和改進安全意識培訓課程中的一種催化劑。
安全意識的培訓應該作爲企業一種根深蒂固的文化,而不是每年一次的例行工作。比如可以每月舉辦一次關注於家庭電腦使用安全方面的午餐會,在公司的內網上專門開闢一個空間用來宣傳安全意識,或每週給員工們發送一封信息安全提示方面的郵件等。這種定期的提示會鞏固員工的安全意識和培訓成果,並最終實現全員整體安全意識的大幅度提升。
安全意識培訓本身並不能給企業帶來足夠的安全防護能力,但是結合適當的方法和安全解決方案,將會大幅度提升企業的安防水平,降低企業所面臨的風險,實現企業多年來努力希望實現的更加安全可靠的網絡環境。通過改變安全意識培訓課程的內容和教學方法,企業的競爭優勢將明顯提升。因此培訓老師絕對應該調整培訓的態度,記住要讓每個員工都獲得足夠的尊重,因爲員工對於企業的意義遠不止確保安全辦公和安全上網這一點。
下面的一些技巧將幫助企業建立一套吸引人的安全意識培訓課程。
1、有明確的教學核心
當你打算建立一套優秀的安全意識培訓課程時,首先要明確授課的核心內容。一個明確的授課核心對象,能夠讓你更好的設計授課幻燈片,也會讓你的課程時刻圍繞着焦點進行。你可以經常用學員們將要學到的內容或將要掌握的態度爲核心內容。比如,可以先寫上“在這一課結束後,學員們將......”然後跟上類似於下面這樣的句子:
· “......將會建立一個安全的密碼。”
· “......將會識別出釣魚郵件。”
· “......將會知道在社交網站隨意公佈個人信息的潛在風險。”
根據這些核心內容,還可以檢驗安全意識培訓課程的總體成果。
2、提供一些可以同時用於工作環境和家庭環境的安全建議
隨着互聯網的發展,辦公和個人生活之間的界線變得越來越不明顯了,因此你所進行的安全意識培訓課程不應該直涉及辦公環境的信息安全,而應該同時能夠涵蓋到員工在家上網時的安全防護。因此,要嘗試着將辦公環境的安全意識培訓與員工在個人環境的安全需求聯繫起來,並讓員工明白安全培訓能給他們在家上網帶來什麼樣的好處。通過這種方式,你不但可以開發出吸引員工的課程,還可以讓企業的整體安全水平有明顯的提升。
3、提供整套信息
你的安全意識培訓課程不應該直引用各種抽象的數據,而是要教會學員爲了實現安全辦公而必須使用的各種安全工具。比如,如果你希望讓學員們掌握正確使用密碼的方法,你可以提供給學員一些創建強壯密碼的策略,提供某種學員能很快學會的密碼管理器,以及一旦他們發現自己的密碼可能被盜,該找誰或者該怎麼處理(不論是在家還是在辦公室)等實際問題。
4、所使用的材料必須可用
不論你在授課時使用了什麼材料,都應該讓學員們能夠及時獲取。比如,如果你在企業內網上建立了一個安全意識培訓方面的網頁,應該確保網頁能夠隨時打開,並且裏面的內容保持更新。如果學員無法在網頁上找到你剛剛講過的某個內容,他們會覺得這個網頁過時了,從而降低了對課程的興趣。
5、根據提問展開內容
在授課期間,應該隨時允許學員提問,而不是在每個課程的最後纔給學員一些提問時間。如果學員提出問題,你應該將其視爲一個良好的信號,代表學員被你的課程吸引,已經用心在聽課了。由於時間的限制,你很可能無法完全解答學員們的問題,或者由於某些問題需要具體數據,你可能還要會去查閱資料,這都很正常。不論什麼原因,你都要隨時確保響應學員的提問,並且讓課程處於不間斷的對話過程。
安全意識培訓課程能夠吸引用戶,並讓他們學會如何保護自己和自己的信息,這對於預防安全事故來說是非常重要的。所以千萬不要讓企業放棄這種簡單而有效的提高安全水平的方法。