世界头号黑客Kevin Mitnick曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。由于缺少足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个组织推向危险的境地。
在很多看起来不起眼的细节上,都隐藏着对组织致命的安全隐患,让我们列举一组数字来说明:[数据来源:GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》]
58.6%的受访者半年以上更换一次密码,或者从不更换密码;
仅有26.4%的人会定期给电脑做备份,不做备份和不定期做备份的比例共为73.6%;
67.9%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的物品保管行为;
如果遇到与工作无关但关系要好的同事要工作资料,94.4%的受访者会根据情况的不同,最终还是选择给同事;
当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,69%的人会看动画、下载动画、浏览网页或点击网页链接;
面对内容吸引人的不明邮件,42.5%的受访者会看邮件内容;
由此可见组织迫切需要提升全员的信息安全意识,对员工进行信息安全意识方面的教育,让员工建立起保护企业的责任感,才能够整体提高组织的信息安全水平。那么组织如何开展信息安全意识教育呢?本文将结合作者在信息安全咨询与培训多年的实践和经验进行探讨。
首先,必须对意识的本质有清晰且深刻地认识,了解其形成的规律。意识是人们对事物的初期认识,在长期的锻炼学习中所获得的一种对事物的价值观与评价。意识的本质是客观对象的主观映象,是对客观存在的反映;是在长期工作和生活中,大脑自然产生的结论,会形成一种精神上的条件反射,因此要想形成这种条件反射,就需要经过一定的时间不断地进行刺激。信息安全意识属意识的一种,是人所特有的一种对信息安全现实的高级心理反映形式;也是人们在工作和生活中面对各种有可能对自己、企业和组织造成损失的外在环境条件的一种戒备和警觉的心理状态。由此可以总结出:意识的养成与传统的培训是不同的,意识是大脑自然形成的条件反射;要想建立起这种条件反射需要通过长期的、有效的刺激。举个例子,我们在过马路的时候都会下意识地左右张望,确认没有危险才会通过,而这种意识是如何形成的呢?小时候就被家长或老师告知过马路要小心,并且看到过别人被撞,或者自己亲身经历过被撞,体会到了发生事故的痛苦,并且我们每天都在经历过马路这个事情。信息安全意识的建立也是同理,只有认识到了这些,并针对意识形成过程的规律进行开展相关的意识教育工作,才能取得事半功倍的效果,反之则事倍功半,效果自然也不会好。
其次,需要分析信息安全意识难以形成的原因,这样才能“对症下药”。我们对曾经服务过的客户做过分析,基本上可以总结为三类原因:第一类:确实不知道,可以用两句话来进一步解释,即为“不知者不怪”和“无知者无畏”。由于组织没有告诉员工应该怎样,所以才导致了员工的一些错误行为;也正是由于员工的不知道可能会导致什么后果,所以才敢这样做。第二类:知道但不重视或者忽视,这种现象在组织中非常普遍。所有人都知道应该怎么做,可是做了和不做没有什么区别,最终出于自己方面就不按照正确的方式做。第三类:存在侥幸心理,认为自己事情不会发生在自己头上。人们经常会有这种想法,我没有那么倒霉被轮上或被发现,正是基于此才导致了错误行为的发生。针对第一类,组织从员工与入职开始直至员工离职的整个过程中,都需要向员工不断地传递组织倡导、要求员工做什么,禁止怎么做,并且是通过有效的渠道来传递,以确保员工能正确的获取这些信息。针对第二类,组织要建立相应的信息安全奖惩制度,那种不痛不痒的奖惩措施形同虚设,具体的奖惩尺度要结合组织情况因地制宜,总之要对员工有所触动。就像之前酒驾屡禁不止,在2011年实施了酒驾新规之后,酒驾数量在全国范围内迅速大幅下降。针对第三类,可以分为两个方面,一方面要让员工知道由于缺乏安全意识采取了错误行为所导致的严重后果有哪些、有多严重,另一方面,就好像高速公路上的摄像头以及交通事故录像一样,可以通过技术手段配合以及现实案例来消除员工的侥幸心理。
再次,要了解组织中不同人员的特点。实际上,组织内从管理层、到安全技术人员、再到所有普通员工都需要建立信息安全意识(关于这一点请参见《信息安全意识为先——提升组织信息安全意识的重要性》),但是由于这些人职责、技术能力等不同,对他们信息安全意识教育的侧重点也有所不同。对于普通员工,应侧重在组织安全策略和规定、基本安全操作技能、错误行为的不良后果、让其知晓信息安全人人有责等等;对于技术人员,应侧重在组织安全策略和规定、违反后要承担的后果、以及所在岗位的信息安全责任等等;对于管理人员,在普通员工的基础上应侧重在信息安全理念、安全组织与决策、安全架构与规划、风险管理意识、以身作则等方面。
最后,应理解信息安全意识教育是系统的、广泛的、全面的、立体的,才能达到预期效果。即信息安全意识教育也是需要规划的,信息安全意识教育的形式要多样化。组织往往认为信息安全意识教育就是搞培训,但是单纯的、正统式的培训形式效果都不会很好,在我们最早为企业开展信息安全意识教育的事后就碰到了这问题,最常见的现象是上面老师在讲,下面员工在睡觉、手机上网、玩游戏……。即便是培训也应是生动的才能给人留下深刻的印象,并且培训只是众多意识教育手段的一种。正是基于以上的对于信息安全意识的深刻理解,我们开发了“安全易视”系列产品,包括了信息安全手册、动画、手册、培训、辅助用品等等,可以总结为“安全意识”立方。
(责任编辑:)
