欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Facebook事件后的思考:浅谈企业安全教育实践

来源:本站整理 作者:ChuanFile 时间:2018-04-12 TAG: 我要投稿

解释:
开放型公司:强调员工感受、体验,给员工更多自由,激发员工热情和个体创造力,从而提高生产力。如google、苹果等。
军事化公司:重管理,让员工在严格规范内工作,强调统一,从而加强生产力,如华为等。
最近各种泄露事件频发,Facebook事件弄得沸沸扬扬,作为一个搞安全的IT打工仔,想着怎么也应该借此机会教育下用户呀,尽量提高员工安全意识,其实也就是降低自己的工作量嘛。于是拿起厚厚的cissp的教材,回顾 CISSP的CBK包含的八大知识域的相关知识,安全与风险管理:建立并管理信息安全教育、意识和培训。可书本的东西都太生涩了,过于概括,那到底这个怎么才能最有效的落地呢?
   

大神一定说,做安全要自上而下,做安全教育也是一样,上层驱动才可以落地。不过相信搞安全尤其是内网安全的同学都知道,有几个公司能自上呀,首席安全官都木有,但是出事了,一定是安全部门背锅这是肯定的。为此我们只能苦逼自下而上,可我们不甘心,我们要用自下而上来实现自上而下,可能吗?来分析下。
员工的心理&解决思路
1、安全和我没关系,工作太忙!没空学习安全知识,更别说落实到工作了
这是最常见的员工思想,毕竟大家的本职工作都不轻松,这就需要安全从业人员找出最有效的方案来激励员工学习安全知识,应用安全知识,方案如下:
a)    和考核挂钩,和钱挂钩
这是最简单有效也是最暴力的办法,安全检查人员时刻巡检,员工胆战心惊,最终形成严重对立面,这种环境员工的工作热情和效率大打折扣。
结论:开放型公司不可取,军事化公司很多这么搞,怕怕!
b)   捅他,让他领导知道,让他领导收拾他,和脸面挂钩
常规思路,有问题找家长的思路,多少孩子的噩梦。相信也是员工的噩梦。怕就能教育好?这个显然没必然关系,而容易激化上下级矛,对上下级关系不是好事。
结论:开放型公司不可取,当然军事化公司还是随便搞
c)    定期个人安全风险展现,和自尊心挂钩
定期给员工个人发送个人近期的安全风险排名,给出安全分值,例如a违规行为-5分、b违规行为-10分,并给出全公司排名,排名靠前颁发荣誉和奖励、提升颁发荣誉和奖励、落后也颁发“落后荣誉”。
这里仅公布名次和全公司百分比占比,在不伤害员工自尊心的前提下,充分调用员工的自尊心。
结论:开放型公司可取,军事化公司也适用
d)   个人安全知识竞赛,利用小奖品,并和攀比心挂钩
利用公司内部各种交流系统,如bbs等,组织线上或线下安全知识竞猜,通过奖励鼓励更多人参与,提升整体员工安全知识水平。并利用奖励分级鼓励学习更多安全知识。可全员公布结果,给出排名,激励员工攀比多学习。
结论:开放型公司可取,军事化公司也适用
e)    团体安全知识竞赛,和集体荣誉感挂钩
安全知识竞猜以集体形式设计,普通员工权重1,底层领导5,中层领导10,高层领导50。全员公布集体评比结果,下级push上级,反向驱动领导层参与学习,或上级为了集体荣誉积极主动参与,从而达到提高领导层安全意识,推进自上而下的安全建设的目的。
结论:开放型公司可取,军事化公司也适用
2、安全很重要,但是怎么了解更多?
存在这种思想的员工并不多,很值得安全人员珍惜,他们有强烈的学习愿望,并且看到周围不安全的事情会自觉成为教导员,是安全教育的一支生力军,所以我们需要提供方案给与更多激励和便利。
a)    提供安全知识学习机会,鼓励充当安全宣传员,和个人荣誉挂钩
这部分员工已经有很好的态度了,但是需要学习更多安全知识来了解安全风险并最终充当安全教育的先锋。内部架设学习平台,鼓励学习并积分,定期积分奖励,并设立安全课程,鼓励其参与授课。提升员工的自我荣誉感和价值感。
结论:开放型公司可取,军事化公司也适用
领导的心理&解决思路
1、安全重要吗?以完成业务为中心,完全不关心安全问题
领导一般都需要带领整个集体完成项目,结果导向,压力较大,我们需要从多角度“进攻”才能达到我们的目的,方案如下:
a)     重点攻关,业内案例轰炸,提升其危机意识
填塞式教育,定期或基于事件推送业内风险,案例形式说明影响,并延伸解释公司业务面临同样危险的损失,尤其需要强调领导个人后果,如被迫离职等,让其触目惊心。
让领导对安全有敬畏之心,才可以提升其安全意识,最终提升其将安全落实到业务的决心。
结论:开放型公司和军事化公司都行。
b)    展示下属安全风险、各类安全竞赛下属或下属组织排名,激发其好胜心
对领导以不记名方式公布各类安全相关风险或比赛的下属排名,如有必要公布其他团队的成绩,激发领导的好胜心,迫使其自上而下传递重视安全的态度。
领导层之间会定期沟通了,比赛结果极可能成为他们的谈资,那落后就会被奚落,丢面子是领导层最不希望的结果。
结论:开放型公司和军事化公司都行。
c)     安全演习,模拟窃取敏感数据,让领导意识到风险的迫切,激发其对安全的敬畏之心
定期渗透测试,针对系统、软件攻击,在可控的情况下窃取敏感数据,并将演习结果汇报给领导,让其意识到安全风险无处不在,提升其对安全建设工作的敬畏之心。
结论:开放型公司和军事化公司都行,但相对来说军事化公司估计会把演习结果作为惩处依据。
d)    安全人员上门宣讲安全风险,给领导做安全教育
安全人员和领导约时间,定期汇报安全风险,激发老板重视度。但此方法只能靠不断重复来让领导闹心,就像小时候妈妈天天教育你写字要姿势正确,但最终重视会重视?你觉得呢?
结论:都可以试一试,万一有用呢
2、安全重要,我怎么提升?我怎么体现我的成果?
这类领导是安全人员个救星,我们需要提供360度的贴心服务,毕竟服务好一个人,可以让一个团队的安全问题都解决!

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载