如何在你企業內部實施安全意識

2019-11-05 03:18:58

字體：大中小

來源：轉載

供稿：網友

如何在你的企業內部實施安全意識（security awareness）計劃？

一個企業安全意識計劃的目標不僅僅是讓所有的員工理解并看重公司信息資產的價值，還要讓他們明白假如這些資產的安全受到威脅，將會帶來什么樣的后果。從理論上說，這個過程是直截了當的，沒有什么痛苦。但是就象每一個IT/安全經理都知道的那樣，在真實的情況下，安全意識計劃可能是一個巨大的夢魘--尤其是在大型的企業中。

你怎樣才能正確地開始執行一個安全意識計劃呢？你怎樣才能確定什么工具會在你的企業內部有效？最大的問題是：你怎么樣才能讓每個人都有意識？我們的安全專家提出了一些簡單，卻經常被忽略的策略：

做好預備
xynoMedia Technology的CEO Lena L.West認為，在你設計安全草案之前，你應該對環境做盡可能多的了解。你必須注重的兩個主要方面是：

人們實際上是如何使用這個系統的，他們為了達到什么樣的目的--“這是在設計安全草案的時候最經常被忽略的一個問題，” West表示。“假如IT經理不了解公司是如何使用這個系統的，以及使用的目的，那么就很難確定安全級別。”

誰能夠訪問到什么信息，為什么，以及誰需要訪問這些信息，為什么--“對于這兩個問題的答案可以互相引證，并幫助你了解是否是合適的人得到了合適的訪問授權，” West補充道。
West進一步強調，“對于IT經理來說，了解公司是如何使用信息的這一點是非常重要的，而且他/她還應該了解他/她所處的特定行業的動態……因為安全方法在特定的財務環境中和在特定公司結構中應該是不一樣的。”

“最近的HipAA和FIPAA立法都對安全方法提出了更高的要求。IT經理應該明確哪些是法律要求的，如何實現。醫療保健機構可能會需要對網絡資源進行審查跟蹤。假如一個文件丟失了，或者被復制了，被刪除了，對于這樣的行業來說，非常重要的就是要搞清楚是誰、在什么時候做的。但是這些對于其他行業的公司來說可能就不那么重要，比如說面包店。”

Security & Business Continuity的IT戰略副總裁Monique Shivanandan建議，安全經理必須對企業目標、行動和政策有深刻的理解。“安全經理還必須了解員工的世界--規模、人員組成、治理風格和企業文化等。”

從高層獲得支持
Neohapsis, Inc.（一家安全咨詢及企業產品測試公司）的CEO E. Kelly Hansen強調，高級治理層的支持是非常重要的。“沒有企業領導對于項目的大力支持，人們不會愿意參與其中。培訓占用了人們日常工作的時間。在目前這樣一個大部分公司都人員不足的情況下，培訓看起來并不是一個好的主意。先做緊急的事情成為了大部分企業的規則。沒有高級治理人員的明確支持，信息安全意識計劃注定要失敗。”

同樣，West也表示，“IT經理需要理解，技術仍然是不得不被使用的東西。假如沒有高級治理層的支持--級別越高越好--那么這樣的計劃從高級治理層到基層員工那里都得不到支持。”

聯合你的盟友
Hansen還強調了和盟友配合的重要性。“我見過幾家名列財富1000的企業讓IT經理同企業溝通或市場經理協同工作。IT安全小組負責提供內容，市場方面的同事負責打包。”

另一個類似的方法是內部聯合小組，Hansen建議。“假如你的資料能夠先讓幾個部門領導（比如HR、法律、財務、治理等）進行閱讀，就輕易收到比較好的效果。他們的反饋會很有見地。”

Shivanandan也同意這一觀點。“IT經理必須組織企業內部多個部門的領導人，以使安全意識計劃能夠滿足所有部門的需要，并能夠提高員工的積極性。”

注重你的語言
“大部分IT經理都沒有意識到他們在說外星語，”Hansen解釋道。“IT語言對于企業內部大部分員工來說都過于專業。很多時候，人們覺得IT人員有意地說一些他們聽不懂的話，這讓他們覺得怨恨。”

“我們經常會發現有些安全講師總是不能夠把要傳遞的信息用一種聽眾能夠感愛好的語言描述出來，”Hansen補充道。他們所使用的類比也是同樣的問題，她認為。

“我們經常見到安全意識計劃的進行布滿了專業術語和軍事化的類比，實施人員似乎從來沒有意識到語言的影響。比喻有非常強大的力量。使用不恰當的語言會讓人們不想聽，更糟糕的是，可能會讓人們覺得安全是件討厭的事情--這是無論如何都要注重避免發生的情況。”

Hansen補充道，最好的安全意識計劃應該是根據企業具體情況來進行定制的，“讓你傳遞信息的方式符合企業的文化。”她認為“用一種誰也聽不懂的外星語言說話不能達到目的--人們很有可能會一個耳朵進，一個耳朵出。”

優化內部溝通流程
安全意識計劃能否成功在很大程度上取決于你所處企業內部的溝通是否有效。“在BellSouth” Shivanandan解釋說，“我們經常評估內部溝通流程，對其進行優化，并通過這樣的流程讓所有的員工知道我們為了避免災難的發生，正在做怎樣的努力。”

“對于每一個行動，我們都會有一個全面的內部溝通計劃，這是由公司內的PR人員制定的。我們利用我們的在線能力來達到溝通的目的。”

“我們每周都會發一個電子郵件的newsletter，它叫NewsSource”，Shivanandan說。“這個工具隨時可以被利用。我們還每兩個月一次向所有員工發送一種newsletter，它有兩種形式--電子郵件或者是紙制的雜志。而且，我們使用我們的BellSouth Television Network（BellSouth電視網）通過位于大部分BellSouth建筑內都有的電視機，向員工發送信息。”BellSouth還使用自己內部完善而復雜的語音郵件系統，通過電話向所有的員工發送緊急信息。而且根據不同情況，還會使用印刷海報，ID徽章，鑰匙卡等方法。

“我們現在進行的安全意識計劃就如同一場使用了多種員工溝通工具的戰爭，我們鼓勵員工每個月都對計算機進行安全掃描，以保障在BellSouth內，所有的計算機都免遭來自于互聯網的安全危險。”

增加趣味性
West認為另一個能夠讓安全意識計劃得以成功實施的方法是讓安全變成一個“有趣的”話題。“很多人總是覺得安全問題很可怕，而安全專家都是非常高深的人。把這些讓人驚恐的感覺消除掉，讓他們看到他們自己也可以是這件事的一份子，他們完全可以參與近來。”West建議設定特定的電子郵箱或熱線電話，讓員工能夠報告任何可疑的情況。

“一個可行的方法是采用互動式的游戲，或者加入幽默的元素，”Hansen表示。“一匙糖能夠幫助傳遞安全信息。”

要這樣說
“而且，我認為說明為什么采用某種政策非常重要，”Hansen補充道。“很多人天性中有叛逆的成分。假如你說不要按那個紅色按鈕，我們中的很多人都會去按一按。假如你解釋說那個紅色按鈕會關閉電源，會造成數百萬美圓的間接損失，我們就不太會去按那個按鈕了。”

用同樣的文件來約束員工
“應該讓員工對書面的安全政策進行簽名，”West強調。“這能夠使你免于陷入一些官司，還避免了出現有的員工說‘我不知道我們不能這樣做’。”任何安全行動都應該讓所有的人收到同樣的文件。

West認為，IT經理不應該忘記把一切都記錄下來，并拷貝給所有員工，讓他們簽字，并在人力資源部保存這些簽字的記錄。

令行禁止
West的另一個重要的建議是：提高透明度，快速行動。“人們很難重視那些看不見行動的人，”她表示。“假如員工看見安全政策正在被貫徹，他們就會意識到企業對此非常重視，并強制性要求員工不能在這方面出錯。假如你的政策書面規定任何員工都不能夠下載不恰當的資料，那么你就應該做到令行禁止。”

總而言之
Shivanandan這樣來總結一個有效的安全意識策略：“首先，為每一個行動做出全面的溝通計劃。使用多種、合適的溝通工具以覆蓋整個公司，并確保大部分員工：1）收到了信息；2）是通過一種他們會作出反應的溝通工具收到這些信息的。信息應該被傳遞到整個公司。信息應該簡潔明了、含義清楚，對行動也應該有明確的要求。經理們應該幫助IT部門獲得員工的注重和支持

上一篇：在OpenBSD上架設安全的小型網絡

下一篇：誰共享了文件？超級網上鄰居簡介