信息安全培训,相信大家都不会陌生了吧?不少企业都会举办信息安全培训,希望提高员工的信息安全意识,减少因员工失误所造成的安全风险。
有研究表明,大部分的高级持续攻击(APT),都是由于人员安全意识缺失所造成的,也有大量案例表明,“人”在安全事件中的占比是十分高的。很多业内人士都戏称“人”是TCP/IP的“第8层”,必须受到良好的意识教育,才能降低系统的攻击面。
看到这里,很多人可能觉得每年开一场安全意识培训,结束后进行简单的考试,大家都通过的话,能满足合规要求,也能向领导交待工作啦。我只能说,图样图森破!有些信息安全意识培训,一开始就已经失败了!
工欲善其事必先利其器,要知道安全意识培训教育怎么做,还得读懂“意识”这个词。意识是人脑对大脑内外表象的觉察,用于辨识真伪的功能,必须有一定的刺激强度和一定的持续刺激时间才能产生知觉。简单来说,就是要使意识长期存在,并且影响其个体的行为,是需要长时间和具备一定强度的刺激。
信息安全意识也是同样的道理,如果寄望于通过每年组织一场培训,就可以提高员工的安全意识,未免也有点天方夜谭了。
企业面临信息安全风险,一方面是信息安全意识不足,另一方面是信息安全技术能力不足和合规意识不足。从过往发生的安全事件来看,即使员工知道要这么做(need to do),但是不知道应该怎么做(how to do),这就是缺少实操训练的结果。
所以单纯的信息安全意识培训,不足以弥补人在信息系统中的缺陷。那么建立一个完整的信息安全培训体系就是大势所趋了。
唯品会早期的信息安全培训也是采用传统的形式,以现场面授培训为主。
主要特点如下:
培训内容主要以知识点为主,缺少生动的案例分享,员工代入感差,上课容易走神;
培训形式单一,只有面授培训课程;
培训对象没有合理区分,缺少针对岗位的培训;
培训内容只有安全意识,缺少安全技术培训和政策合规培训;
培训仅限于新员工入职培训,意识刺激强度不足,难以改变员工的行为习惯;
培训占用员工的日常工作时间,员工抗拒参加培训,或带有消极的情绪;
培训考试的成绩与员工的个人绩效不挂钩,员工不重视;
培训绩效无法度量,无法可视化,意识提升效果无法对比;
缺少有效的渠道收集反馈意见和建议。
上面的种种,都是唯品会在信息安全培训中遇到过的问题。简单总结起来就是“用户体验差,未形成体系”。
用户体验差,具体表现在培训内容不够吸引、培训形式单一、培训对象未区分和占用过多工作时间。在用户体验上,我们开始运用互联网思维,站在用户的角度上思考问题。
未形成体系,具体表现在员工缺少驱动力、培训绩效无法度量和缺少有效反馈渠道。我们开始考虑培训体系化,具有持续改进和闭环的特点。
这就是“互联网+培训”,将传统的培训方式与互联网思维进行深度融合,采用崭新的载体、创新的形式、丰富的内容使其成为一个用户体验至上,具备质量提升循环的唯品会信息安全培训体系。
图1、唯品会信息安全培训体系架构图
经过不断地探索实践和总结,唯品会已经形成相对成熟的信息安全培训体系(下面简称体系),如上图所示。体系分为五个层次,分别是体系管理层、培训载体层、培训形式层、培训内容层和培训对象层。体系结构层次分明,具备横向扩展性,有利于体系的发展。
体系管理层
该层是体系的基础,也是培训教育体系的核心要素。
(1)内容管理:是对“培训内容层”中的安全培训内容进行管理,主要是根据需求和安全事件,梳理和扩充安全培训的知识点;
(2)需求管理:是收集技术中心、业务部门、HR等安全培训需求,以及从“素材管理”中提取信息安全事件的知识点,形成安全培训需求;
(3)培训开发:是根据“内容管理”中的安全培训知识点,综合考虑“培训载体层”中的载体和“培训形式层”中的表现形式,对培训课件、动画、海报等进行开发的过程;
(4)素材管理:对构成最终培训课件的图片、文章、动画以及安全事件案例进行分类管理,可以根据安全培训需求进行快速迭代开发;
(5)讲师管理:对于信息安全培训面授课程的讲师,实行讲师认证制度和课程满意度管理,通过“沟通交流”中的渠道反馈信息,使讲师能不断提升自己的讲课技能;
(6)绩效评估:主要是两方面的绩效评估,第一是学员的考核管理,第二是信息安全部门的培训目标绩效管理。学员的考核管理主要关注学员的线下课程出勤率、线上课程完成率、考试通过率等指标。培训目标绩效管理主要关注年度的信息安全培训目标完成情况、员工主动上报安全事件数量、员工举报违规数量、安全培训满意度等指标。是培训体系测量和持续改进的重要环节;
(7)沟通交流:是学员反馈信息安全培训效果、上报安全事件/安全违规、提出改进建议的有效渠道。这些渠道包括V-Learning论坛讨论区、电子邮箱、V课堂满意度调查问卷、IM聊天工具等渠道。
培训载体层
培训载体是紧随时代发展的,时代潮流发展到什么程度,就自然有了相应的载体。在没有电脑的时代,使用线下的面授课程和海报宣传。后来有了电脑、手机、微信之后,并且成为了生活的必须品,自然也是安全培训的新式载体。所以在培训载体层,我们只需要做到紧跟潮流发展即可,并无过多创新的地方。或许以后就是用全息投影、VR游戏做安全培训了。
为了具备一定强度和长时间对意识进行刺激,目前唯品会的培训载体分为线上和线下两部分。线下主要是以面授课程和实体刊物为主,线上则包括PC端的V-Learning、电子邮件、OA,移动端的V课堂和微信等形式。
培训形式层
培训形式与培训载体是紧密结合的,培训形式多种多样,都是为了提高用户体验,是使用互联网思维解决内容不吸引、形式单一乏味、占用工作时间的三大问题的关键要素。
内容不够吸引?我们通过有趣的动画视频以及紧贴时事的信息长图来宣贯安全内容。
图2 、安全技术培训动画视频
图3、安全意识信息长图——电信诈骗
形式单一乏味?我们通过VSRC微信公众号、PPT、安全员工手册、信息长图、动画、安全小贴士、海报/易拉宝、信息安全活动多种形式对安全培训进行宣贯。确保形式多样,多看不腻。
图4、信息安全小贴士-1
图5、信息安全小贴士-2
图6、VSRC微信公众号文章分享
图7、信息安全面授培训PPT-案例分享1
图8 、信息安全面授培训PPT---案例分享-2
图9 、信息安全活动周-热烈的现场
图10 、信息安全活动周---踊跃的小伙伴
图11、唯品会OA专栏
图12、第十二期信息安全双月刊---封面
图13、第十三期信息安全双月刊---封面
图14、信息安全双月刊---安全漏洞预警
占用了员工宝贵的工作时间?我们充分利用员工的碎片时间!包括员工在上下班坐地铁、公交的时间,等待电梯的时间,经过走廊的时间,电脑锁屏后的时间。这些时间都是可以利用的碎片时间,我们在碎片时间中推送安全意识长图、播放安全意识动画视频、播放电脑屏幕保护图片,达到潜移默化提升安全意识的目的。
图15、屏幕保护图片---杜绝账号共享
图16、屏幕保护图片---杜绝弱口令
培训内容层
在安全培训的内容上,主要分为三大块,分别是安全意识、安全技术和政策合规,覆盖了常见的安全内容。
安全内容的设计与开发,有三点来源。
(1)常规的安全知识点,是培训对象必须了解的内容。
(2)安全事件触发式的安全警示,例如公司出现了“钓鱼邮件”,则立即开发关于该安全事件培训内容,以安全小贴士邮件的形式发送给全公司,作为安全事件的预警,避免扩大影响范围。
(3)根据“体系管理层”中的“需求管理”,通过收集不同的部门的培训需求,有计划地制作培训内容。
安全意识培训的内容是最为广泛的,也是全公司员工都需要了解的安全知识点,其知识点都浅显易懂,并且以覆盖日常工作为主,辅以生活安全知识点。
图17、信息安全意识教育视频课程目录
图18、信息安全意识教育动画---数据安全
图19、信息安全意识教育动画---共享账号
图20、信息安全双月刊---生活相关的安全提醒
安全技术的培训内容,主要面向开发人员、运维人员以及安全人员,包括TOP10安全漏洞原理及规避方法、业务安全的最佳实践、安全编码标准、安全提测评审流程和一些技术规范。
图21、信息安全技术培训动画---课程目录
图22、信息安全技术培训动画---SQL注入漏洞
图23、安全编码规范
政策合规,主要是公司需要满足的标准和法律法规要求,包括ISO 27001、PCI DSS、ADSS、SOX 404等标准。在唯品会实施ISO 27001时,实施了ISO 27001标准讲解以及建设的注意事项培训,使信息安全管理体系能够快速有效落地,并获得领导的大力支持。
培训对象层
培训对象层关注的是接受信息安全培训的人员,我们从两个维度分析培训对象,第一是培训课程的受众分类,第二是培训对象职业生涯发展的需求。
培训课程的受众分类,指除了全员“一刀切”的安全意识培训课程外,还应该针对各个岗位实施专门的岗位安全技能培训,例如安全开发、安全运维、安全应急响应等不同类别。
职业生涯发展需求,指员工进入公司后,随着技术提升和岗位晋升方面考虑,可能会产生不一样的安全培训需求。
例A,一位程序开发员,需要掌握的是安全编码知识,而程序开发员晋升成系统架构师后,可能需要了解安全模型、安全架构以及威胁建模等更深层次的技术。
例B,一位业务员,晋升到业务经理甚至业务总监。从以前可能只需要管好自己的安全意识就可以了,到现在需要管理好团队下面所有人的安全意识,这是一个不小的挑战,需要给他们一个身份转变后的安全意识培训。
培训对象层,主要分为四个阶段,分别是新员工阶段,在职阶段,提升阶段以及持续教育阶段。
(1)新员工阶段,主要是新员工入职的信息安全意识培训,以及考试。不通过是不能转正的。培训除了安全意识知识点外,重点讲解公司不能触及的安全红线要求以及明确公司的奖惩管理办法;
(2)在职阶段,根据不同的岗位,设定不同的安全培训学习目标。目前有开发人员、安全人员的专岗培训。以后会陆续覆盖更多不同类型的岗位培训;
(3)提升阶段,目前有公司总监安全培训,用公司曾经发生的安全事件案例来引出总监级人员应该关注的安全内容,以及说明奖惩管理办法中的连带责任,讲述一些控制员工安全行为的方法和技巧。让高层管理人员参与到信息安全工作中来,能够大大提高安全工作的落地效率。以后会陆续开发更多有深度的安全技术和安全意识的培训课程,以满足高阶工程师和高级管理人员的安全培训需求;
(4)持续教育阶段,持续教育阶段是安全培训的重点,主要是采取多种形式的安全培训,长时间高强度地刺激员工的安全意识,使安全意识保持在激活状态,达到潜移默化的培训作用。
2016年11月至12月是唯品会全员信息安全考试的时间。为期一个半月的信息安全考试在2017年元旦前已经完满结束,参加考试人数达到26000多人。
信息安全部对本次考试进行了精心策划,为全员意识、开发岗、测试岗、项目经理岗、产品经理岗都设定了不同的考试内容。体现出有针对性的专岗培训、专岗考试理念。
考试内容设计上,均与培训内容紧密结合。
在信息安全意识试题方面,我们编制了两套题库,覆盖了九个不同的安全领域,包括移动安全、终端安全、机密信息泄露、账号权限安全、社会工程学安全、业务安全、人员离职安全、关键岗位职责分离和数据提取安全。在员工考试时,每个安全领域都会随机在系统抽取问题,每个人考试内容都不完全相同。技术人员的考试则由TOP10安全漏洞、安全编码规范、安全提测评审流程、业务安全技术等方面的试题组成,确保技术人员能够掌握基本的安全技术以及遵守安全管理流程。
图24、2016年度信息安全在线培训
图25、2016年度信息安全在线考试
虽然唯品会的信息安全培训已经初成体系,但是依然未做到极致。
未来将会重点关注下面的重点内容:
(1)增加更多针对岗位的培训,先将针对岗位的培训覆盖面扩大,争取在高风险部门都会有其专属的培训内容;
(2)逐渐加深重点培训对象的培训深度,在“提升阶段”发力;
(3)绩效评估手段逐渐多样化,考虑采取社会工程学模拟,内部网络钓鱼等方式检验员工的安全意识;
(4)紧跟时代潮流发展,在培训载体和培训形式上进行创新,增加用户黏性。
(5)做加法的同时,也要适当做减法,一些反馈不好,或者无人问津的安全培训形式,会进行改造或抛弃,提高安全培训资源的ROI;
(6)优化安全事件与安全培训间的联动,在素材管理和内容管理上做更多的归纳总结和梳理。
唯品会信息安全
信息安全培训,我们一直在路上!
精彩原创文章投稿有惊喜!
VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送!
至少为500元唯品卡(活动最终解释权归VSRC所有)
不知道,大家都喜欢阅读哪些类型的信息安全文章?
不知道,大家都希望我们更新关于哪些主题的干货?
现在起,只要您有任何想法或建议,欢迎直接回复本公众号留言!
精彩留言互动的热心用户,将有机会获得VSRC赠送的精美奖品一份!
同时,我们也会根据大家反馈的建议,选取热门话题,进行原创发布!
点击原文阅读 手快有,手慢无