| 信息安全

请登录

注册

注重人与风险管理:企业安全培训不是鸡肋

2013-11-12 14:44:33 先行电力网
A A
在对待IT安全培训的态度上,企业的IT安全专家们一般可分为两类:一类专家认为安全意识培训课程很有必要,另一类则认为对员工进行安全意识教育完全是浪费时间。其实,企业对员工进行的安全意识培训课程不但是现
 

        在对待IT安全培训的态度上,企业的IT安全专家们一般可分为两类:一类专家认为安全意识培训课程很有必要,另一类则认为对员工进行安全意识教育完全是浪费时间。其实,企业对员工进行的安全意识培训课程不但是现实情况的要求,而且也是企业提高竞争力,与其它竞争对手相区别的一个重要特征。理论上,安全意识培训是个好主意,但是和很多好主意一样,如果实施的不到位,好主意也会变得没有效果甚至真的成了浪费时间的事情。

        对于当前的企业信息安全窘境,很多人都指责是由于企业过分的依赖于安全软件厂商提供的过于老旧的技术(比如反病毒特征码),而安全软件厂商没有及时根据新的威胁改进安全解决方案。当然,这是一个挺合理的解释,但是另一方面讲,企业的IT专家们也应该负有同样的责任,因为他们没有为企业员工提供新安全环境下的安全培训课程(当然也还有其它很多因素,但是本文不作讨论)。如果我们这些IT专家还在拿九十年代的IT安全知识来教育现在的企业员工,还有什么理由去责怪安全软件厂商不及时更新技术呢?也许大家都听到过这样的安全教育:“要确保安全,就只访问大型网站”或“不要去成人网站,否则会中毒”。大多数企业对员工进行的安全意识培训,课程的主干都是围绕着一系列“能做什么”和“不能做什么”展开的。 现在,是时候让我们重新考虑安全培训课程的内容和教学方式了,不论是内容还是教学方式都应该进行升级,才能符合当今企业员工的实际工作情况。

丢掉“用户”这个词

        不知企业的IT部门什么时候开始将自己和其他员工用“我们”和“他们”这种方式分开的,但是这种情况必须马上停止。为什么IT专家在说他们的同事时,总是用“用户”这个词呢(而且通常说这个词的时候都带着鄙夷和不屑的态度)。这个词并不意味着什么,但是却会导致部门间的分裂、不信任、以及怨恨情绪在IT部门和企业其他部门间弥漫。而要纠正这种错误,IT专家们需要为了企业未来更好的发展,从内心真切的与其他部门的员工交流。对于任何企业来说,人都是最宝贵的财富,因此确保他们能够安全的工作,企业才能有信心实现长远的发展。改掉这个不良的习惯,最终会让企业变得更强大,更具竞争力。

抛开消极心态

         在IT圈里有一个流传很广的观点,即非IT人员无法被训练成时刻考虑到信息安全的程度。认为安全培训无用的言论中,有一条是说,企业里总会有那么一个“足够蠢”的员工会打开病毒邮件。我觉得这是一种相当消极的想法,在谈论到所谓的“愚蠢用户”时,IT技术人员好像把自身摆在了一个崇高的皇室地位上一样。我们应该意识到,实际上我们这些IT技术人员才是最愚蠢的,是这些人用错误的培训方法和过时的培训内容对员工们进行培训,并把同事都当做二等公民一样对待,导致了企业面临各种各样的安全风险。虽然从概率理论上讲,一个大型企业里,确实会有某个甚至几个员工落入黑客巧妙编制的钓鱼陷阱中,但这并不能成为IT专家们放弃对员工进行安全意识培训的理由。如果按照这个理论,我们干脆连基本的反病毒软件、入侵检测系统、防火墙或其它任何安全技术都不要采用了,因为黑客总有办法绕过这些防护屏障。

       另外,不要过多的考虑安全意识培训做不到的事情,相反,要多想想这样的培训能带来什么好处,比如对于企业风险管理的好处。所有IT安全专家的首要任务都是尽量降低企业的IT风险。和面对其它所有风险一样,我们永远无法避免人为因素造成的安全风险。而良好的安全意识培训课程能够让企业降低人为因素所带来的安全风险,尤其是钓鱼类型攻击和恶意软件的风险。

让课程中肯,适用和互动

         Michael Santarcangelo是一位著名的主动意识倡导者,他对于安全意识的定义为:“个人意识到自己的行为所导致的后果,包括行为意图和影响”。大多数人并不理解自己的上网行为与所导致的对个人潜在的负面影响结果之间的必然联系。如果安全意识培训课程仅仅是告诉员工哪些事情做得不对,并不能起到明显的改善作用,或者说员工不一定能接受。我们必须找到真正致力于安全办公方面的专业教练。

        通过适当的具有互动性的范例来授课并展开讨论,会让企业员工建立起一套正确的思维过程和决策的框架,从而让员工的网络行为更加安全。令所有员工都安全起来,才能让他们不被黑客当做钓鱼目标。另外要鼓励员工在上网时用更加谨慎的态度进行网络浏览,这可以有效降低网络威胁的发生率。同时这种鼓励也是在实施和改进安全意识培训课程中的一种催化剂。

         安全意识的培训应该作为企业一种根深蒂固的文化,而不是每年一次的例行工作。比如可以每月举办一次关注于家庭电脑使用安全方面的午餐会,在公司的内网上专门开辟一个空间用来宣传安全意识,或每周给员工们发送一封信息安全提示方面的邮件等。这种定期的提示会巩固员工的安全意识和培训成果,并最终实现全员整体安全意识的大幅度提升。

        安全意识培训本身并不能给企业带来足够的安全防护能力,但是结合适当的方法和安全解决方案,将会大幅度提升企业的安防水平,降低企业所面临的风险,实现企业多年来努力希望实现的更加安全可靠的网络环境。通过改变安全意识培训课程的内容和教学方法,企业的竞争优势将明显提升。因此培训老师绝对应该调整培训的态度,记住要让每个员工都获得足够的尊重,因为员工对于企业的意义远不止确保安全办公和安全上网这一点。

 

大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞

相关新闻