网络安全意识大潮涌来 你准备好了吗?
2014年首届国家网络安全宣传周,标志着国家层面已经正式开始积极开展网络安全意识的普及工作。今年6月,经中央网络安全和信息化领导小组批准,中央网信办、教育部、工业和信息化部、公安部、国家新闻出版广电总局、共青团中央等六部门联合发布《关于印发〈国家网络安全宣传周活动方案〉的通知》,决定统一于每年9月第三周举办国家网络安全宣传周活动,网络安全意识教育活动的大潮正在涌来。
但实际上,国内网络安全意识工作目前还处于不被广大企业真正理解的阶段,很多企业对网络安全意识工作的认识并不准确。
一、企业网络安全意识教育市场强劲增长
尽管网络安全意识未被企业广泛理解,但近年来网络安全意识教育市场却在稳步、持续的增长。据Gartner去年8月的统计,2014年全球网络安全意识教育市场已经超过10亿美金,并将每年至少增长13%以上。
人,永远是安全体系中最薄弱的一环
中国的网络安全意识教育市场,还远远没有得到充分的重视,大部分企事业单位也刚开始主动开展员工网络安全教育。但在国家网络安全总体要求,以及企业自身面临的威胁之下,市场也已于2016年正式启动,预计今年市场容量将超过1亿元,以后每年至少增长30%。整体市场正越来越重视网络安全意识教育,安全意识教育也被证明在提升企业安全能力方面是有效并高效的。
网络安全意识教育市场增长,一方面因为企业面对的威胁有所改变,这些威胁主要包含针对企业员工的网络行为安全法规不断增加,针对员工和其设备的威胁不断扩大,以及超出IT和安全部门控制的技术在越来越多的被采用。另一方面是由于企业日益认识到,针对员工的安全意识教育工作,企业内部的安全部门很少能自己研发有效的网络安全意识教育和行为管理方案。
很多客户都是为了切实提升企业自身的网络安全能力,而将网络安全意识教育纳入到工作计划中的。并且越来越多的用户考虑到企业自身开发用于员工网络安全意识教育的知识内容,并转化为有形的课件、视频、手册等需要投入的时间、人力、物力巨大,过程极其繁琐,普遍认同员工网络安全意识教育这一专业的工作应当由专业公司来做,于是这就给致力于员工网络安全意识教育的公司带来了很好的机会。
二、网络安全意识教育绝不只是发点资料、开开会
有些企业的安全负责人认为,安全意识培训无法收到立杆见影的效果,无法直观的评估效果,从而可做可不做。但实际上,要想切实提升企业自身的网络安全能力,长期持续的进行安全意识宣传教育的作用十分重要。举个例子,谁都知道不闯红灯、不能酒驾的交通规范和道理,可交通安全意识的宣传却始终没有放松和停歇过,但是有谁确切地知道交通安全意识的宣传降低了多少交通事故呢?
网络安全意识教育是一项长期、持续的系统工程
还有些人认为,网络安全意识教育无非就是打印一些宣传资料,开几个培训会,再大不了对培训结果进行一下考核就行了。但实际上,网络安全意识教育工作绝非如此简单,它已经是一个成体系化,涉及到各种方法途径和科学教育的长期工程。
在开展员工网络安全意识教育工作的过程中,中国企业有着自己的文化特色和要求。首先反钓鱼训练不普遍,主要是采取主动宣教和考试相结合的方式。除了采用在学习系统中放置网络安全意识课件、通过邮件向员工推送网络安全知识等依托于计算机进行培训的方式外,向员工发放网络安全意识手册、或张贴海报、展板等这些传统的宣传教育方式也经常会被采纳,同时随着平板电脑、智能手机的普及,这两种载体也会被重点考虑。但无论采用什么样的方式利用什么样的载体,采取对于员工有吸引力且合适的宣贯手段是绝对的宗旨。
同时,不同行业的企业开展员工网络安全意识教育工作也各有特色。政府、央企、国企、银行、券商、保险公司、外企无论在网络安全意识宣传教育内容上,还是手段方式上,都各有特色。
在Gartner2015年发布的《安全意识培训魔力象限》分析报告中,入围厂商的评价标准主要基于厂商的执行能力和愿景的完整性两大评价标准。
执行能力包含:产品和服务、总体可行性、销售执行/定价、市场反应/记录、市场营销执行、客户体验、操作等细分评估标准。
愿景的完整性包含:市场了解、营销策略、销售策略、募股(产品)战略、商业模式、垂直/行业策略、创新、地理战略等细分评估标准,并赋予每个细分评估标准高、中、低不同级别的权重。
产品和服务、销售执行/定价、客户体验、市场了解、营销策略、创新都属于高权重的范围。
同时,Gartner对入围的所有网络安全意识教育厂商做了优劣势点评。处于领导者象限的厂商可以提供很好迎合市场需求的解决方案、成功的奠定了客户基础,在网络安全意识教育市场有稳定收入、具有较高的生存能力等特点。除此以外,入围领导者象限的厂商还展示出卓越的视野与愿景,并达到了预期要求。也就是说,企业想做好网络安全意识教育工作,需要专业程度高、产品体系化、实践经验丰富、真正了解用户需求的提供商。
安全牛的网络安全意识产品
为企业提供员工网络安全意识教育产品和服务,专业性是一个基本要求,也是企业最为看重的关键因素。专业性体现在两个方面,一方面是研发的知识内容本身的专业性,面向员工宣贯的网络安全意识层面的知识内容,和面向技术人员的内容有很大的不同,并非将原始的网络安全知识直接搬给员工那么简单,还需要转换成员工可以理解的语言。另一方面是服务团队的专业素质,尤其是开发与实施人员的素质。企业选择专业的服务厂商,并不仅仅为了服务本身,也是为了专业经验的共享与探讨。
三、网络安全意识教育的关键成功要素
数年来,安全牛在网络安全意识宣传教育领域服务了超过150家超大及大中型企业,具备了丰富的实践经验,我们认为企业开展成功的网络安全意识教育工作,需注重以下几个方面:
体系化的安全意识教育方案
针对员工的网络安全意识教育工作不是简单的通过一次现场培训或考试就能完成和取得效果的,需要综合考虑企业的办公文化、物理环境特点、员工办公习惯和喜好等因素,形成体系化的安全意识教育方案,并有计划有步骤地开展工作。
首先可开展一次全员的网络安全意识调查,摸清员工的网络安全意识薄弱点;
依据调研的员工网络安全意识现状,结合企业业务特点和要求,制定相应的教育方案,主要包含以下几个方面:
制定开展员工安全意识教育工作的目标;
确定教育对象的范围,例如是全体员工,还是先覆盖企业总部员工;
选定由企业内部哪个部门或人员组织开展这项工作;
确定教育过程中需要向员工宣贯的网络安全知识点与具体内容;
梳理现有的或建立新的宣传途径,确定需要宣贯的知识点的表现形式或教育方式;
制定意识教育工作实施计划,例如每月向员工推送当月主题的网络安全意识动画,邮件发送期刊等,持续一年;
评估教育方案实施相应的人力、费用投入;
工作开展的过程中,在一定的时间节点回顾总结;
根据效果持续改进。
专业性是基本要求
面向员工开展网络安全意识教育,专业性是一个基本要求,也是关键因素。专业性体现在两个方面:
一方面是宣贯的知识内容本身的专业性,合理选择要宣贯的知识内容并梳理清晰;另一方面是内容教育方式和呈现形式的专业。例如组织专业的网络安全意识现场培训、持续定期发送美观专业的网络安全意识期刊、推送生动幽默的网络安全意识动画等。
降低网络安全与员工之间的壁垒
在很多员工的心目中,提起网络安全,都是很难理解的、严肃的、约束自己的,而企业的网络安全工作往往需要员工的支持与配合,所有针对员工的安全意识教育工作,首先需要降低员工与安全的壁垒。如何降低?面向员工宣贯的网络安全意识层面的知识内容,和面向技术人员的内容有很大的不同,并非将原始的网络安全知识直接搬给员工那么简单,还需要转换成员工可以理解的语言,通过员工喜闻乐见的形式展现给他们,让他们愿意自动的了解网络安全,学习网络安全。
抓准员工的学习习惯和喜好
企业网络安全意识教育的对象是员工,需注重“以人为本”,既然涉及到人,就不可避免的需要考虑员工的学习习惯和喜好,这一点直接决定了教育工作具体采用的宣传途径和方式,例如年轻的员工更喜欢在手机端接收信息,就可以通过微信向其推送安全漫画、手机端的安全小游戏等;年纪稍大的员工喜欢看纸质的内容,就适合看网络安全手册。
长期坚持,并坚持不断创新
好的信息安全行为习惯并非与生俱来,或经培养后一蹴而就。需要从培养信息安全意识开始,经历漫长、有序、科学的过程才会形成。长期的网络安全意识教育工作可以采用以下两种方法:
1. 利用员工碎片化时间,每月/周定期通过各种方式向员工推送和展现网络安全知识,常年坚持。
2. 每年举办一次网络安全宣传周/月。
同时,需要长期坚持的工作,为了避免“审美疲劳”,就需要不断地创新,例如宣传周活动环节和内容的创新、定期向员工推送网络安全知识展现形式的创新等。
结束语
已经或即将开展网络安全意识教育工作的企业中,虽然将网络安全意识教育工作看作是为了满足合规需求的不在少数,但正在看到越来越多的企业基于内因来开展网络安全意识教育工作,安全意识教育也被证明在提升企业安全能力方面是有效并高效的。
另一方面,越来越多的企业会选择本土网络安全意识教育厂商提供服务,厂商们也在不断加大对不同端点(例如移动和物联网设备)和呈现方式(如增加交互内容)的投入。专业服务厂商能尽快的满足企业需求,培训并提高员工网络安全意识水平,从而最终大幅提升企业整体安全能力。
安全牛网络安全意识部分客户
点击左下角“阅读原文”或长按下图二维码,填写相应信息即可获得《网络安全教育手册》(仅限100名),且前10可同时免费获得“员工网络安全意识教育体验包”服务(含:电子期刊、屏保、知识图片、动画)