网络安全意识 | 以人为本，安全意识工作大有可为

人是“最薄弱的一环”，还是“最强大的防线”？

根据 Verizon 发布的《2020数据泄漏调查报告(DBIR)》显示，网络钓鱼、利用窃取的账号密码、员工误发送、员工误配置被列为数据泄漏的前四大威胁。不难发现，从近年来的攻击趋势来看，黑客也讲究成本效益，相比利用软硬件漏洞，黑客更倾向于从阻力最小的“人”下手，利用“人的漏洞”即人的行为错误发起攻击，以此绕过企业的层层安全技术防御手段。某种程度上，企业员工对网络安全的冷漠无知、疏忽大意、意识淡薄已成为网络犯罪分子发起网络攻击的“首选武器”。在每个业务流程和信息系统中，人是最基本但也是不可预测的因素。

当人为错误成为造成数据泄露的最普遍原因时，这意味着每一个人都必须承担起自己的相应责任。发挥全员的力量，建立“人力防火墙”，打造企业安全文化是上策。

可喜的是，越来越多的企业开始意识到员工安全意识教育的重要性。安全意识教育作为企业满足合规与监管要求，以及保护企业的数据、信息系统、业务发展和风险管理的基本需求而提出，是企业最值得的安全投入。人是每个组织最重要的资产，各个岗位上的员工也像操作系统，在工作中存储、处理与传输敏感信息。要像保护计算机系统一样，给员工也加上一道防护措施，将“人的漏洞”及时打上补丁。

知识就是力量！对于企业的员工，通过安全意识培训来增加安全知识是防范安全风险的最有效方法之一。通过适当的安全意识培训降低人为错误的风险，如通过对员工进行有关法律法规、数据安全、密码安全最佳实践，以及如何发现社会工程学攻击、网络钓鱼攻击的培训，使员工成为企业安全防御的积极组成部分。接受过全面的安全意识教育、展现良好的安全行为习惯、能够积极识别/预防/汇报安全隐患和事件的员工，可以成为企业信息安全的“最强大防线”，使企业遭受黑客攻击的可能性降低，即使发生安全事件也可以第一时间减少风险与损失。

但仍有很多企业从上至下对于安全意识工作和安全意识岗位的理解并不到位。安全意识工作年复一年地在开展，但管理层往往视为鸡肋，看不到立竿见影的成效，给予的预算和资源支持越来越少；员工将其视为负担，认为枯燥的、无关紧要的培训浪费时间，常常应付了事；安全团队也越来越困惑，不知道如何衡量安全意识培训的效果，不知如何吸引员工主动参与。

没有全员的参与，就谈不上降低“人的因素”所带来的风险。不知道如何证明培训的收益，就无法得到领导的理解与支持，以及缺少预算，结果是造成恶性循环，安全团队也备受打击。

安全意识官：使员工从“应付”到“喜欢”上安全

即使有了领导的支持和员工的理解与配合，安全意识工作就能真正做到降低“人的因素”的风险吗？安全意识工作的成败关键在于人，再好的安全意识工具、平台、内容与服务，最终还是依赖于企业的信息安全意识负责人。

什么是安全意识？安全意识是一个组织的成员(内部及外部)所具备的关于保护该组织的信息资产(包括物理资产)的知识、态度和观念。开展安全意识工作是要使员工将“注意力”聚焦于安全，以识别信息安全隐患与风险，并采取适当的行动/响应或做出正确的决策。

什么是安全意识官(SAO)？安全意识官全面负责管理企业中人的安全风险，通过实施安全意识教育计划，确保企业内部所有员工、外部相关第三方了解、理解并遵守企业的安全管理要求，树立和保持安全意识，践行最佳安全实践，从而降低人的因素引起的安全风险。

据SANS（SysAdmin Audit Network Security）相关报告：要想安全意识工作取得最大投资回报率，改变组织级的不安全行为，企业必须配备至少1.4名专/兼职安全意识专业人员。另据Gartner相关报告：至2022年60% 的大型企业和组织都将开展全面的安全意识教育计划，并至少配备一名专职人员负责安全意识工作。

规划、实施和管理安全意识计划需要投入大量时间和精力，一个合格的企业安全意识官应该具备这些能力：了解国内外安全意识相关法律法规/标准/指南；具备较强的领导力、执行力与沟通能力、项目管理和变革管理能力，在复杂的组织环境中推动意识、行为与文化变革；具备出色的营销与传播能力、协作能力，能够激励、动员、说服与影响管理层及员工，并建立信任关系，提升参与度；能够有效地改变不同岗位员工的风险行为，使员工自觉践行最佳安全实践；通过长期持续开展安全意识计划，打造有竞争力的企业网络安全文化。

另外，安全意识官还应考虑到人是一种社会性动物，需充分利用社会心理学、成人教育学、组织行为学等知识，巧用认识理论、沟通与激励、影响他人的艺术等，以人为本，因人施教。

在具体实施上，首先要分析员工，尊重员工。不同岗位员工所接触的数据/信息系统不同、权限不同、风险不同，已经掌握的安全技能水平不同，对员工的意识要求也不同。所提供的安全意识教育培训应根据角色和能力水平进行量身定制，培训内容应尽可能地与员工实际工作息息相关。开展基于岗位角色的安全意识培训，意味着员工接受所需内容的培训占用工作时间更少，将更多时间专注于生产性业务工作，可以降低员工排斥感，提升参与度。以对企业各部门最有意义的方式设计培训内容，以有趣、好玩、互动的形式，让安全意识渗透和应用到日常工作的活动中去。

其次是正向强化，激励员工。有效的行为改变和巩固安全行为，需要合适的激励措施配合。建立一套激励计划，对于发现和报告钓鱼邮件、挫败可疑的黑客攻击企图、完成了意识培训必修课、积极分享与贡献安全知识、过去12个月没有发生安全违规行为等方面的员工，及时予以肯定、表扬和奖励。可考虑获取HR与业务部门支持，将安全意识学习与入职转正、绩效评估、职业晋升、证书勋章、积分换礼品等挂钩。

安全意识工作绝不是贴贴海报、喊喊口号，玩文字游戏、做表面功夫，一定要落实到员工的价值观念、思维方式和实际行为中去，这种转变不是一朝一夕可以发生的，总会遇到一些阻力，总会有一些同事或部门不喜欢变化，回到不安全的老路上。安全意识官需要结合企业自身业务特点及人员风险特点，不断摸索、优化、创新企业安全意识计划最佳实践。

网络安全意识 | 以人为本，安全意识工作大有可为相关推荐

AI 是否拥有意识？从意识的定义说起
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达来源:AI科技评论本文为约4141字,建议阅读8分钟本文介绍了当下 ...
网络安全学习路线是什么样的？网络安全学多久能找工作？
网络安全学习路线是什么样的?网络安全学多久能找工作? 网络安全虽然好上手,入门难度不太高,但是仍然需要系统地进行学习,否则容易走很多弯路.虽然现在网络上很多资源,但是大多零散,未经整理,小白很容易看晕 ...
网络安全入行？来了解下网络安全从业人员类别及其工作任务
又到了每年重保期间,红蓝双方都开始进行准备蓄势待发,网络安全从业人员每年供不应求,尤其是重保期间,双方都在疯狂的招揽准备网络安全人员.那网络安全从业人员分类到底有哪些,都负责哪些具体的工作任务呢? 根 ...
密码学与网络安全 - 7 分组加密的工作模式 8 伪随机数的产生和流密码
7 分组加密的工作模式 7.1 多重加密与三重DES 7.1.1 双重DES 双重DES所对应的映射不被单DES所定义,所以是强于单DES的中间相遇攻击:可能的密钥加密明文,然后用可能的密钥解密密文 ...
老师就是学生的天-- 恩人意识，青天意识从娃娃抓起
http://news.sina.com.cn/s/2008-05-30/074515648616.shtml [quote] 选择了教师职业,就应该选择保护和关爱学生,光亚的孩子远离父母,危难之际, ...
提高企业计算机网络安全意识,对企业计算机网络安全建设问题综合分析探讨.doc...
对企业计算机网络安全建设问题综合分析探讨对企业计算机网络安全建设问题综合分析探讨摘要:随着信息时代的到来,企业对于计算机网络的依赖也在日益加深,与此同时,计算机网络安全的建设问题也随之而来.文章首 ...
安全意识培训：如何提高员工网络安全意识？
随着网络技术的不断发展和应用,网络安全已经成为企业必须关注和重视的问题.尤其是在今天,企业数字化转型的大背景下,网络安全问题日益凸显.对于企业而言,员工是企业安全的第一道防线,提高员工的网络安全意识已 ...
网络安全隐患首先要改变杀毒意识与习惯(转)
随着网络安全形势日益严峻,最近网络安全问题成为人们关注的热门话题.不久前,由3721在全国范围内发起一项名为"全民体检周"公益活动,具体由3721提供系统全面检查工具,用户可以通过 ...
奇文|意识如何演化?机器何时有自我意识?《附着与隧通-心智的工作模式》
[编者 Peter Ye 按] 今天是2021年12月30日,过去两年如梦幻一般.祝大家在2022年里健康.平安.顺利! 文章后面有蔡恒进教授的视频链接,虽然是过去几年的,但仍未过时,且具有前瞻性. ...

网络安全意识 | 以人为本，安全意识工作大有可为

网络安全意识 | 以人为本，安全意识工作大有可为相关推荐

最新文章

热门文章