安全说道 | 如何开展企业信息安全宣导?
2022年,我们将过去安在新媒体的固有栏目“诸子云话题”进行改版升级。改变了过去社群匿名的话题陈述,通过筛选诸子云社群中热度最高的话题,邀请各方专家展开专业、详细的讨论,将多方观点汇聚成全新的栏目,即安全说道。
本期话题导言
随着移动互联网的兴起,云、工业控制等技术的发展,内外网的区分慢慢弱化,安全威胁也花样百出。对于企业而言,信息安全不仅包括公司电脑自身的安全,而且更包括企业商业机密的安全,尤其是电脑、信息系统中的重要数据。随着《数据安全法》、《个人信息保护法》等相关法律法规的建立,信息安全不再仅仅满足企业合规的要求,更是对企业自身发展起到关键性保障作用。
对于一个组织来说,信息安全事件导致业务损失可能会带来最严重的经济后果。日趋火热的攻防演练也传达了另一个消息:安全事件的发生不局限于外部攻击,组织内部被社工钓鱼也是被攻击的主要方式之一。员工由于缺少足够的信息安全意识和防范观念,往往因为自己的便利或失误而违反信息安全规章,或成为网络犯罪者的辅助工具。因其本身意识不到因为自己的这种行为和后果,会将整个公司的信息资产推向危险的境地。所以企业必须在整个组织内树立信息安全意识,对员工进行信息安全意识方面的教育,才能够整体提高企业和组织的信息安全水平。
对此,如何开展企业信息安全宣导?如何最大程度提升员工的安全意识就成为很多CSO或安全负责人所关注的话题。
★
如何开展企业信息安全宣导?
★
某跨国企业CSO 赵锐
乐信 信息安全中心总监 刘志诚
信息安全专家 陈圣
在此鸣谢三位老师的支持与协助。
★
本期精彩看点
★
常见的企业信息宣导方式
赵锐:从渠道来说,像邮件、海报、电脑桌面的屏幕保护程序以及在电梯厅、办公场所里面的横幅等等。还有新年台历、鼠标垫、办公软件弹出的通知,这些都是日常的方式。另一方面,还可以定期开展一些培训,无论线上还是线下。培训结束后还会有定期的考试以及安全日、安全周等等。除此之外,很多企业都拥有SRC,大多数时候SRC都是针对外部的。但其实在内部也可以建立相应的渠道,针对在信息安全事件中表现较好的员工给予奖励。反过来,也可以对因操作不当,或者说企业内部有相应的培训后还出现安全工作不到位等问题的员工进行处罚。将这些奖励和处罚进行公示也是一种宣导方式。
如何提升宣导作用及影响
刘志诚:安全追求纵深防御,从理论上来讲,安全宣导也是这样。全员教育建立文化氛围;根据岗位针对性教育建立个人关联性;应急演练建立实践意识;威慑案例建立责任意识。从心理学的角度来讲,这是一个逐层递进的方式,很多企业只选择1-2个层面是不够的,只有将它们系统化的运作起来,才能达到相应的效果。
如何选择安全宣导内容
陈圣:一方面我认为要根据企业信息安全建设的现状,根据核心要点进行培训。另一方面可以增加技术层面的安全培训,很多技术人员不一定会了解黑客的攻击手段,因此在这方面需要提供警惕。要建立员工的底层意识,当员工面对钓鱼或未经授权的访问时,他会本能的产生戒备和警觉,并及时反馈给安全部门。
如何贴合高层管理人员的需求
陈圣:首先要和普通员工区分开,要针对高层管理人员制定对应的安全培训内容。实际上,高层管理人员才是我们培训的重中之重,一方面他们可以保障培训工作的顺利进行,另一方面,高层管理人员的以身作则是可以带动和影响普通员工配合安全部门进行相应的工作。
如何建立信息安全制度
刘志诚:建立制度或体系需要自上而下和自下而上。不同的组织面对着不同的情形,说没又有那种方式一定是对的。根据我个人的经验,在企业原有的信息安全文化不到一定水平和高度的时候。自上而下的方式往往会形成一些束之高阁的制度。因此,大家选择事件驱动和风险驱动会更好一些。
4月份,诸子云社群内(各地会员微信群)共产生安全话题90余个,约1500人次参与讨论,涉及企业网络安全最佳实践方方面面、角角落落。经过整理,我们已经将这些内容归档到诸子云知识星球,让话题和观点可沉淀、能检索,成为可持续输出价值的甲方“新鲜事”。
我们欢迎更多的甲方安全专家加入诸子云社群,参与热门话题讨论,分享更多实践和经验。与此同时,各位读者可以在留言区写下你们认为最困惑的,最具有讨论度和热点的话题,我们每期会选择一个话题在社群内展开讨论,在传道解惑的同时,更有精美礼品奉上。
推荐阅读
【安全说道】全新首发:如何提升安全的影响力?
齐心抗疫 与你同在