很多企业安全部门可能将预算和资源投入到软/硬件安全解决方案的采购和部署上,侧重于技术防御,但选择性地忽略或没有更多预算投入在防空方面。事实上,人防和技防同样重要。基于技术的解决方案只能覆盖有限的区域。即使企业不惜重金打造安全防线,有时内部人员的一个小失误也可能让企业陷入混乱。处于岌岌可危的境地。筑牢“人民防线”,离不开良好的人员运行机制和安全意识提升计划。通过制定周密的安全意识计划,员工可以主动承担责任,更好地保护公司的数字资产和知识产权。此外,从更高的角度,员工还可以将所学的安全知识延伸到个人生活中,造福更多家庭。2016年,Gartner发布了一份安全指南,提出了一些建议,帮助中小企业在预算非常紧张的情况下,提高员工的安全意识。三年过去了,网络空间的形态发生了很多变化。因此,Gartner的安全专家重新编写了这份指南,提出了几种简单易行、立竿见影的方法,并且仍然坚持“调动最少资源”的原则。方式一、简单明了的消息通知(一)内网横幅利用网络广告的思路,在企业内部网页顶部添加横幅,促进安全意识的建立和安全信息传达能力的提升。(2)登录消息MicrosoftWord、Unix等应用程序和操作系统为管理员提供了系统登录时发送消息的通道。管理员可以自定义消息推送提醒用户安全要求,推送安全提示,或发送任何消息可以加强安全能力。但需要注意的是,信息要简短,不要频繁发送。如果信息过于复杂或持续推送,将降低其对用户的印象,并可能存在违反部分国家和地区法律法规的风险。(3)“封锁站点”页面限制员工访问各种网站(包括社交媒体、搜索和购物等正规网站)或阻止访问被认为有风险的网站,这是企业内部常见的安全策略。但是要小心,不要只使用Web阻止服务提供商提供的默认“被阻止的站点”页面,而只写“违反公司安全策略”。在页面上为被阻止的网站创建自定义消息,告知用户无法访问该网站的原因。善用“被屏蔽的网站”,为员工提供额外的阅读或查看内容以及相关的联系信息,可以为主动学习创造一个很好的机会。方法二、各种形式的会议(一)远程培训如果企业规模比较大,不方便将所有员工聚集在一起进行培训。可进行在线视频培训,员工足不出户参与。一般适用于分享安全简单的安全培训活动,如提示、问答等。(2)与安全主管共进午餐与安全管理人员共进午餐是向特定受众传达关键信息的一种简单而有效的方式。另一方面,与真实的人进行讨论也可以提高员工的敬业度。(三)行业专家现场培训邀请外部行业专家(如执法机构或专业公司)进行现场演示,为观众提供与安防行业大咖及从业者互动的机会。受邀的行业专家可以通过讲故事的方式分享真实的信息和经验,让整体内容更有趣,更能吸引观众。方法三、提高安全专家的出场率(1)拍摄短视频企业内部的安全专家可以尝试拍摄一些针对特定主题的小视频,每次都解释一个问题并提供一个解决方案,传达信息清晰、有意识地。拉近员工与企业内保人员的距离。加强安全专家的存在有助于提高员工对专家的熟悉度,从而提高视频的点击率和未来线下会议的参与度。这些视频可以存放在内网首页的固定区域。(2)专用通讯邮箱企业可设立内部安全问题专用邮箱,与员工保持不间断的沟通渠道,提供必要的信息交流。此电子邮件地址可用于回答安全问题或提供反馈。然后,邮箱管理员可以定期将问题和答案上传到企业内部的公共安全问题和答案页面。这种方式不需要与人面对面交流,是一种低投入的互动方式,可能对部分员工更有吸引力。(3)布置安全专家工作站可以使安全专家工作站更加开放,增加食品供应和舒适座椅等,鼓励员工在舒适的环境下与安全专家坐下来聊天。员工将更愿意畅所欲言并提出关键问题。除了被动接受员工的咨询,还可以主动发出讨论邀请。(4)博客博客是增加长期关注者的一种方式,也可以巩固相关领域安全专家的权威。写博客是一个建议,不要太高瞻远瞩,要“实事求是”,要有故事有细节,增加员工代入感,有助于建立长期关系,促进培养员工的安全意识。其次,博客的篇幅不需要很长,在把事情说清楚的前提下,越短越好。方法四:让员工多参与(一)摄影比赛企业可以通过一些不太直接、接地气的活动,从侧面促进员工安全意识的培养。比如举办摄影比赛,流程比较简单,用户体验也很友好,可以联系和吸引各个部门的员工。摄影比赛可以围绕安全主题设定比赛目标和规则,例如要求员工提交证明安全的照片。让企业高管参与进来,可以大大提升赛事的影响力,也可以看出高管对安全的重视程度。此外,此类活动的宣传要广泛而有力。除了群发邮件的公开方式,也可以通过管理渠道在例会上强调。当然,奖品的好坏也直接决定了能够吸引到的活动的数量和质量。(2)安全站安全站的形式可以是公共展示和交互区,可以提供部分处理过的数据图表,让员工更直观地看到安全情况。游戏更精彩,比如看到勒索软件在电脑上泛滥时如何正确修复,高交互的形式可以让参与者更投入到解决安全问题中。(三)攻防竞赛根据企业自身情况,在严格限制范围和手段的情况下,开展一系列网络攻防竞赛。例如,有一场关于企业员工面临的主要网络风险——钓鱼邮件的竞赛。(4)将安全延伸到私人时间,让员工可以将不再使用和准备丢弃的过时设备带到公司。安全专家将对如何擦除个人信息进行讲解和指导,以消除丢弃或倒卖带来的安全风险。处理客户或业务数据时也应采取相同的措施。方式五、正向激励(一)积极反馈员工的进步当企业高层看到员工为保障企业安全所做的努力和取得的成绩时,可以颁发证书、留下手写的留言卡,并发送感谢通过电子邮件。用信件和礼品卡奖励这些员工,感谢他们的安全行为,增强员工在企业安全建设过程中的主观能动性。(2)建立积分规则建立积分规则的目的是实施长期奖励计划,授予员工积分,可用于在公司内部门店或外部供应商处购买商品。这种持续的奖励制度可以持续激励员工,建立长期的安全意识,表达对员工的感激之情。(3)赠送虚拟徽章如果公司内部通讯或协作软件支持虚拟徽章或自定义头像,则可向积极参与企业安全建设的员工授予虚拟安全徽章。虽然这种形式并没有给员工带来任何实际的回报,但却可以促进安全意识的培养。(4)与CEO共进午餐员工与CEO或其他高级管理人员面对面交流的时间可能很少。企业可以为员工提供与CEO或比较罕见的管理人员共进午餐的机会,以表明高层管理人员对安全建设的重视。可以在没有任何正式议程的情况下同时邀请几名员工共进午餐,员工可以在这里提问并了解业务领导力等。(5)提拔表现好的员工企业领导可以提拔在企业安全建设中表现好的员工担任安全运营管理者的角色,在业务流程中赋予更多的安全话语权,加强他们的领导力。企业可将此环节加入KPI考核机制的奖金部分,在晋升考核中给予可见的正反馈,并在企业内部通报结果,增加员工参与安全建设的动力。方法六、头脑清醒(1)安全日历通过电子邮件、海报、内网消息或上述内网横幅等渠道定期推送简短的安全提示,告知当前流行的安全威胁和公司可能发生的安全事件脸。并与公司内部数字营销团队合作,通过点击率了解数字流量和员工关注度。(2)细化谈话要点安全专家可以为管理人员提供一份笔记清单,供团队会议使用,以强化安全消息内容部分。安全建设的核心内容应该保持一致,但每个团队经理可以根据自己的团队文化进行定制。(3)假设演练组长可以在内部会议中提出一些安全威胁的假设情况,大家一起讨论。通过倾听对话,团队负责人可以衡量团队是否了解他们在保护企业安全方面的责任,并可以在他们发现问题时提供额外的帮助和培训。这种方法也是促进协作思维的好方法,允许员工在安全的团队环境中表达想法并采取行动。参考:Gartner:在预算紧张的情况下提高安全意识的几种方法
