提高全员安全意识的6个方向
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
很多企业安全部门可能因为将预算和资源都投入到软/硬件安全解决方案的采购与部署,侧重技防,而选择性忽略或者根本没有更多预算投入人防。实际上人防与技防处于同等重要的位置,基于技术的解决方案能够覆盖的领域是有限的,即使企业花了很多钱来构建安全防线,有时候一个来自内部人员的小错误就可能将企业置于岌岌可危的境地。
要建好“人民防线”,离不开良好的人员操作机制和安全意识提升计划。通过制定周密的安全意识提升项目,员工能够主动担负起责任,更好地保护企业数字资产和识产权。此外,从更高的角度来看,员工还能将所学的安全知识延伸到个人生活中,使得更多的家庭受益。
2016年,Gartner曾发布了一篇安全指南,提出了一些帮助中小型企业在预算十分紧张的情况下提升员工安全意识的建议。三年过去了,网络空间的形态发生了很多变化,因此Gartner的安全专家重写了这篇指南,提出了几种简单可行、立竿见影的方法,仍坚持“调动最少的资源”这一原则。
方法一、简单明了的消息通知
(1) 内网横幅
采用网络广告的思路在企业内部网页顶端添加横幅,推进安全意识的树立和安全消息的传达能力。
(2) 登录消息
诸如Microsoft Word和Unix等应用和操作系统为管理员提供了系统登录时发送消息的通道。管理员可以自定义消息推送以提醒用户要遵守哪些安全要求、推送安全提示或传输任何可以强化安全能力的消息。不过要注意信息要保持简短且不要经常发送,如果信息很复杂或者持续推送会降低它对用户产生的印象,并且在部分国家和地区可能存在违反法律规定的风险。
(3) “阻止的站点”页面
限制员工访问各类网站(包括社交媒体、搜索、购物等正规网站)或阻止访问被视为有风险的网站是一种企业内部常见的安全策略。不过要注意不要只使用Web屏蔽服务供应商提供的默认“阻止的站点”页面,只写一句“违反企业安全策略”。在页面上为被阻止的网站创建自定义消息,告知用户不能访问该网站的原因。用好“阻止的站点”,为员工提供额外内容供他们阅读或查看以及相关联系人的信息,这样可以创造一个很好的主动学习机会。
方法二、各种类型的会议
(1) 远程培训
如果企业规模比较大,将所有员工集中到一起进行培训不方便,可以开展在线视频培训,员工无需离开办公桌即可参与,一般适用于分享安全提示、进行问答等简单的安全培训活动。
(2) 与安全主管共进午餐
与安全管理人员一起举办午餐会是向特定受众传达关键信息的简单且有效的方式,从另外一个层面看,真人讨论也能提升员工的参与度。
(3) 行业专家现场培训
邀请外部行业专家(如执法部门或专业公司)进行现场演示,为观众提供与安全行业大咖和从业者互动的机会。邀请的行业专家可以通过讲故事分享真实的信息和经验,让整体内容更加有趣,更能吸引观众。
方法三、增加安全专家的出镜率
(1) 拍摄短视频
企业内部安全专家可以尝试拍摄一些针对特定主题来拍摄一些小视频,每次讲解一个问题并提供解决方法,清晰、有意识地传达消息,拉动员工与企业内部安全人员的距离。增强安全专家的出镜率有助于提升员工对专家的熟悉度,从而增加视频的点击率和未来线下会议的参与率。这些视频可以存放在内网主页的某个固定区域。
(2) 专门的沟通邮箱
企业可以在内部设置一个专门用于安全问题的邮箱,保持与员工的持续沟通渠道,提供必要的信息交流。该邮箱可用于解答安全问题或提供反馈。然后,邮箱的管理人员可以将问题与解答定时上传至企业内部的常见安全问题与解答页面。这种方式不用与人面对面进行交流,是一种低投入的互动形式,对于部分员工可能更有吸引力。
(3) 布置安全专家的工位
可以将安全专家的工位布置得更加开放,增加饮食供应和舒适的座椅等,从形式上鼓励员工坐下来与安全专家聊一聊,在舒适的环境中员工会更愿意发言并提出一些关键问题。除了被动接受员工的咨询外,也可以主动发送座谈的邀请。
(4) 写博客
写博客是一种增加长期关注者的方式,还能巩固安全专家在相关领域的权威性。写博客是建议不要特别高瞻远瞩,就是“保持真实”,要有故事,有细节,增加员工的代入感,有助于建立长期联系,推进员工安全意识的培养。其次,博客篇幅不必很长,在讲清事情的前提下越短越好。
方法四、让员工多多参与
(1) 摄影比赛
企业可以通过一些并非很直接、接地气的活动从侧面推进员工安全意识的培养。比如举办摄影比赛,流程比较简单,用户体验也很友好,能够接触和吸引各个部门的员工。摄影比赛可以围绕安全主题设定比赛目标和规则,比如让员工提供能够表现安全的照片。让企业高管参与可以大大提升活动的影响力,也可以表现高管对于安全的重视程度。此外,此类活动的宣传力度要广要大,除了群发电子邮件这种公共方式之外,还可以通过管理层通道在开例会时进行重点强调。当然,奖品的好坏也直接决定了活动能够吸引到的人数和质量。
(2) 安全小站
安全小站的形式可以是一个公共的展示和互动区域,可以提供部分经过处理的数据图表让员工更直观地看到安全态势,如果能够提供模拟安全攻防的互动项目或者小游戏那就更好了,比如在看到勒索软件在电脑上肆虐时该如何进行适当的补救,高互动的形式能够让参与者更加投入来解决安全问题。
(3) 攻防竞赛
根据企业的自身情况,可在严格限定范围和手段的情况下开展一系列网络攻防竞赛。比如针对企业员工面临的主要网络风险——钓鱼邮件,开展竞赛。
(4) 将安全延伸到私人时间
可以让员工携带不再使用、准备丢弃的老旧设备到公司,由安全专家说明和指导如何抹去个人信息,消除丢弃或者转卖时造成的安全风险,以后在处理客户或者企业的数据时也该采取相同的行动。
方法五、正面激励
(1) 正面反馈员工的进步
当企业高级管理层看到员工在保障企业安全时做出的努力和成果时,可以通过颁发奖状、留下手写消息卡片、通过电子邮件发送感谢信、提供礼品卡来奖励这些员工,感谢他们的安全行为,加强员工在企业安全建设过程中的主观能动性。
(2) 建立积分规则
建立积分规则的目的是推行长期的奖励计划,该计划向员工授予可用于在企业内部商店或者外部供应商处购买商品的积分。这种持续的奖励系统能够不断激励员工,构建长期的安全意识,表达对员工感谢。
(3) 给与虚拟的勋章
如果企业的内部通信或者协作软件支持虚拟勋章或者自定义头像的话,可以给与积极参与企业安全建设的员工开通虚拟安全勋章。虽然这种形式并不能给员工带来任何实际的奖励,但是可以推动安全意识的发展。
(4) 与CEO共进午餐
员工与CEO或其他高级管理人员面对面相处的时间可能很少。企业可向员工提供与CEO或平时比较少见的管理层人员共进午餐的机会,以表明高层对于安全建设的重视。可以同时邀请数名员工共进午餐,不设置任何正式议程,员工可以提出问题并了解企业领导和其他情况。
(5) 提拔做得好的员工
业务负责人可以将在企业安全建设中表现好的员工提拔至安全运营管理者的角色,赋予业务流程中的更多的安全话语权并加强其领导力。企业可以将这一环节添加到KPI考核机制中的加分部分,在晋升评定中给与看得见的积极反馈,并在企业内部通报结果,为员工参与安全建设添加更多动力。
方法六、保持头脑清醒
(1) 安全日历
通过电子邮件、海报、内网消息或上文中提到的内网横幅等渠道定期推送的简短安全提示,通知目前流行的安全威胁和公司可能面临安全事件。并与公司内部的数字营销团队合作,通过点击率了解数字流量和员工的关注度。
(2) 梳理谈话要点
安全专家可以为管理人员一份备注清单,用于在团队会议中加强安全信息内容部分。安全建设的核心内容应当保持一致,但每位团队管理者都可以根据各自团队文化进行自定义。
(3) 假想练习
团队领导可以在内部会议期间提出一些安全威胁的假象情况,让大家一起讨论。通过倾听对话,团队领导可以判断团队是否理解他们在保护企业安全方面的责任,并且可以在他们识别问题时提供额外的帮助和培训。这种方法也是促进合作思维的好途径,使得员工在安全的群体环境中表达想法和落实行动。
参考资料:Gartner: A Few Ways to Improve Security Awareness on a Tight Budget
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Facebook面临高达50亿美元罚款
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 美国联邦贸易委员会(FTC)正在调查Facebook是否违反其用户隐私保护策略,可能将会对该社交网络处以50亿美元的罚款。 4月24日的季度财报中,该公司留出了30亿美元以应对可能遭致的处罚,但同时指出:事情尚无定论。 尽管一季度收益增长了26%,但该一次性罚款还是严重影响了Facebook的一季度净收入。FTC一直在调查Facebook是否违反了其2011年承诺的用户隐私保护协议。 投资者无视了该罚款,并在盘后交易中将该公司的股价推高了9%,达到将近200美元的高价。不过,EMarketer分析师 Debra Aho Williamson 将该事件称之为 “重大发展”,并指称和解方案有可能不仅仅是罚款。 与FTC达成的和解可能会影响到广告商在未来使用该平台的方式。 过去2年来Facebook深陷隐私漏洞丑闻。去年3月开始,FTC就一直在调查Facebook是否牵涉剑桥分析公司数据挖掘丑闻。该公司在未经用户同意的情况下获取了该社交媒体平台8,700万用户的数据。 2011 FTC 协议将Facebook绑上了20年...
- 下一篇
对GDPR的六大常见误解
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 通用数据保护条例(GDPR)于2018年5月生效,根据法律条文,英国几乎所有企业都需要遵守该规定。然而,人们对法规本身及其对组织的意义仍存在一些误解。这可能会导致一些错误的决定。 以下是关于GDPR的六个误解,一些个人和企业仍然相信它们是真的。 误解1:巨额罚款只是危言耸听 早在2018年初,法规生效之前,GDPR就一直占据着头条新闻。在这段时间里,对不遵守规定的企业可能处以巨额罚款的报道层出不穷。据报道,这一数额高达2000万欧元或占全球营业额的4%(取决于哪个数字更大) 。 这些罚款数额显然是巨大的,一些公司仍然认为这只不过是危言耸听。但是,要记住的是大型企业在过去曾面临过巨额的数据保护罚款。 例如,在2016年,WhatsApp因违反荷兰的数据法律而被处以每天1万欧元的罚款。这发生在GDPR生效之前,但自从相关法律出台以来,谷歌因未能遵守相关规定受到了极其严厉的处罚。 事实上,法国数据保护机构CNIL对这家科技巨头处以5000万欧元的罚款。谷歌似乎没有遵守该法规的关键部分,没有向客户提供有关他们的数据会被如何...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker安装Oracle12C,快速搭建Oracle学习环境