我眼中的信息安全意识教育体系

围观次数:2,682 views


“唯品会安全应急响应中心”公众号于2017-1-9发布了“魔风”撰写的《唯品会信息安全培训体系》,拜读之后、深为叹服,这是一个有理论、有实践、有改进的信息安全培训体系,值得信息安全从业人员学习、借鉴。本人在甲乙方都做过,在甲方高科技企业(也有人将之归类于制造业)有较长的工作经历,因此在信息安全意识教育方面略有一些心得,受此启发,决心分享一些补充性内容;细节上因个人经历和行业经验和“魔风”有差异,请不吝指正。本文首发Sec-UN,转载请注明。

一、目标与成熟度

对于高科技行业、制造业等传统行业(这里的传统行业有别于互联网行业)而言,信息安全团队的价值可能主要是防范内部人员有意或无意的泄密,防止外部攻击引发的破坏和窃取。因此除了IT基础设施的体系化建设之外,让员工(包括干部和高管)具备恰当的信息安全意识,是防范信息安全风险的有效手段;当面对钓鱼邮件、勒索邮件、交易诈骗时,甚至会成为最有效的防线。

按照流行的成熟度模型,我将员工个人的信息安全意识成熟度划分为几个等级,可以用于衡量企业员工信息安全意识教育的水平:

1. 不知道:信息安全是干啥的?为什么要做信息安全?我跟信息安全有啥关系?员工对此基本是一无所知的状态。

2. 知道但不遵守:我知道信息安全是干啥的,但是信息安全跟我没啥关系!我知道信息安全有要求,但是不知道要求是啥,或者不遵守。

3. 知道且遵守:我知道信息安全对我的要求,并能遵守。

4. 认可且主动参与:我知晓并认可信息安全工作的目标和价值,不但遵守要求,当发现信息安全漏洞或威胁时,还能积极主动地采取举报、制止、取证等措施。

站在组织信息安全团队的角度,开展信息安全意识教育工作首先应该界定一个总体目标。这个目标应该和组织信息安全工作的整体目标保持一致。通常而概括地描述就是“员工知道并遵守信息安全要求,如果能主动参与信息安全工作那就更好了”。信息安全要求是什么,就是在不同的业务场景下员工应该怎么做的规范。有了目标这个标尺,我们才好衡量安全意识教育的成效。

信息安全意识教育工作从无到有开展2年以后,应该以3级人群为主形成正态分布,然后逐步优化。组织的信息安全团队一定是希望彻底消灭12级人群,34级人群越多越好;但任何事情都是有代价的,所以,选择与组织的文化(包括企业文化、信息安全的亚文化)和安全投入相匹配的目标就好。

二、为什么叫意识教育

传统意义上的“培训”二字特指两种形式,一种是面对面的授课,有互动、效果好,但效率不高;一种是将各种信息安全媒体推送到员工面前(如屏保、海报、电梯视频),没有互动,效率高,但效果往往不好。

为什么称之为“意识教育”,因为意识其实也是一种能力,而不只是一种“知识”;就像我们小时候经常说考试时候粗心而错题一样,老师就会告诉你:“细心其实也是一种能力,你就是能力不过关”。我的工作经历表明,单纯依靠培训无法有效地提高员工信息安全意识,正如你不可能靠培训就能提高员工的开发质量、维护水平和沟通能力。我以前的老板一直教育我们:能力提升有个“721模型”,70%靠实战,20%靠师傅带,10%靠培训(后来才知道,这是老外经过长期研究出来的成果,可不是随口胡诌,具体出处真忘了);经过多年的实践检验,我认为也是成立的。从这个角度看,意识教育其实大有可为:除了培训,面对面的沟通、开会、知识竞赛、现场观摩、参观展览甚至让员工自己面对和解决安全问题,都是可行的选择,只要能达到目标并符合文化和安全投入即可。

2个实际的例子来深入阐述我的观点。

1个例子。当我在公司里面访谈一位部门总监(算中层干部吧),他会就公司里面推行加密软件的做法以及遇到的问题跟我抱怨,并埋怨说加密软件造成了很多工作的不便。如果按照传统的“培训”理念,这时我应该友好地记录下他的问题,并在后续的授课、邮件推送中以文字、图片来解答这个问题,而按照“意识教育”理念,我就会在当场与他沟通,告诉他我们为什么会推行加密软件、为什么会遇到当前的问题、我们后续可能会怎么解决这些问题以及可能的计划;在这个沟通过程中双方换位思考、互相体谅,争取达成双方观点的一致,同时把安全人员开展工作的方式方法教给他。这应该也是一种可行的意识教育的手段。

2个例子。业务单位有一名信息安全的兼职人员,负责本单位的日常检查工作,以及问题的处理和上报。安全团队的老师会对之进行面对面的授课,传授基本知识和技能,但是不是这样就可以了?按照“意识教育”的理念,真正让他具备工作所需的能力,还需要实际锻炼,于是第一次检查会有老师带着他,第二次检查就要自己上了,第三次检查可能老师就要来挑刺、帮助改进了。这应该也是一种可行的意识教育的手段。

三、我眼中的意识教育体系

从建立一个体系角度来看,“唯品会信息安全培训体系”这张图已经完整地展现了一个意识教育体系的内容,在此不赘述,仅再次贴图以表达个人对此的完全同意和支持。哦,当然,要把“培训”二字替换为“意识教育”。实际上,这张图也展示的是“意识教育”的理念。

在这里仅作2点补充:

1、培训形式和培训载体这两者的界限,似乎比较模糊,我更倾向于把两者合并称为“渠道”,其内涵和价值应该是“将意识教育对象需要掌握的意识能力传递给他的手段和方法”。

2、我觉得上面这张图没有充分展现“意识教育体系设计”方面的逻辑关系,我这样表达他们的逻辑关系:

 

这个图展示了这样的逻辑关系:

(1)针对不同岗位的人员,应该设立有差别的安全意识教育的目标。这个目标实质上是指“教育之后应达到的效果”,并在总体上服务于安全团队的价值、目标。

(2)基于目标,就要梳理能够达到这个目标的“渠道”,已经通过这个渠道要传递的“内容”。同时,要注意不要将“渠道”局限于单向的信息传递,而应该注重双向、多种手段的综合运用。

(3)“渠道”“内容”的选择和运用上,尤其要注意不能引起员工的反感。这就需要权衡安全团队在企业的强势程度、员工的年龄层次、意识教育内容的表达形式等多方面因素。作为一个普通人,其实非常反感自己被“培训”的对象,因此如何让员工真正感受到安全意识教育给他带来的帮助,是非常重要的。在这个方面,我建议能够让保护个人信息入手,先让员工感兴趣、认同安全的价值,然后引申、推广到保护企业的信息,效果估计会比较好。

四、不要忽视安全亚文化的建设

在企业文化的组成中,安全文化应该视作其中不可忽视的一份子。安全团队可以尝试塑造安全的亚文化,由此塑造在企业中的品牌价值,当然,还有存在感。这种亚文化可以是润物细无声的服务生,也可以作风强势的彪形大汉。在安全亚文化的建设过程中,如果让干部和员工普遍认识到安全团队的价值和存在,常常意识到一些具体业务操作中应该遵守的安全要求,发现安全事件的时候能够优先想到安全团队,那就是非常成功的安全亚文化建设典范了。

不得不说的是,适度的奖励和惩罚措施也应该视为安全意识教育的有效手段。无论是物质的还是精神的,从人性出发,奖惩措施一定会引发员工的关注和讨论,这其实也体现了安全在企业内部的一个价值观哪些行为会得到奖励,哪些行为则会受到惩罚。

从这个角度看,安全团队成员的一言一行、每一个决策和措施,其实都是在建设安全亚文化,都是在企业内部开展安全意识教育。

五、目标、效果的测评

安全意识教育做的好不好,是不是达到了我们既定的效果和目标,企业管理者和安全团队的负责人都会关心这个问题。

考试是一个成本低廉的测评手段,而且如果样本量够大的话,总体结果也是可信的。当然,中国人都很擅长考试,考前突击训练也是常有的事情,因此,不必过分寄托于考试成绩。

还有一个非常直接的测评手段,就是问问安全团队的每一个成员:员工是不是理解支持你的工作?安全项目开展的资源是否足够?工作阻力有哪些、来自于谁?业务单位是否认可安全团队的价值?再与往年的状态做一个纵向比较,结果自然可知。这个方法虽然不够量化,但也足够定性。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助