Facebook事件后的思考:浅谈企业安全教育实践

2018-04-12 150525人围观 ,发现 12 个不明物体 企业安全观点

*本文作者:ChuanFile,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

解释:

开放型公司:强调员工感受、体验,给员工更多自由,激发员工热情和个体创造力,从而提高生产力。如google、苹果等。

军事化公司:重管理,让员工在严格规范内工作,强调统一,从而加强生产力,如华为等。

最近各种泄露事件频发,Facebook事件弄得沸沸扬扬,作为一个搞安全的IT打工仔,想着怎么也应该借此机会教育下用户呀,尽量提高员工安全意识,其实也就是降低自己的工作量嘛。于是拿起厚厚的cissp的教材,回顾 CISSP的CBK包含的八大知识域的相关知识,安全与风险管理:建立并管理信息安全教育、意识和培训。可书本的东西都太生涩了,过于概括,那到底这个怎么才能最有效的落地呢?

    浅谈企业安全之安全教育实践g

大神一定说,做安全要自上而下,做安全教育也是一样,上层驱动才可以落地。不过相信搞安全尤其是内网安全的同学都知道,有几个公司能自上呀,首席安全官都木有,但是出事了,一定是安全部门背锅这是肯定的。为此我们只能苦逼自下而上,可我们不甘心,我们要用自下而上来实现自上而下,可能吗?来分析下。

员工的心理&解决思路

1、安全和我没关系,工作太忙!没空学习安全知识,更别说落实到工作了

这是最常见的员工思想,毕竟大家的本职工作都不轻松,这就需要安全从业人员找出最有效的方案来激励员工学习安全知识,应用安全知识,方案如下:

a)    和考核挂钩,和钱挂钩

这是最简单有效也是最暴力的办法,安全检查人员时刻巡检,员工胆战心惊,最终形成严重对立面,这种环境员工的工作热情和效率大打折扣。

结论:开放型公司不可取,军事化公司很多这么搞,怕怕!

b)   捅他,让他领导知道,让他领导收拾他,和脸面挂钩

常规思路,有问题找家长的思路,多少孩子的噩梦。相信也是员工的噩梦。怕就能教育好?这个显然没必然关系,而容易激化上下级矛,对上下级关系不是好事。

结论:开放型公司不可取,当然军事化公司还是随便搞

c)    定期个人安全风险展现,和自尊心挂钩

定期给员工个人发送个人近期的安全风险排名,给出安全分值,例如a违规行为-5分、b违规行为-10分,并给出全公司排名,排名靠前颁发荣誉和奖励、提升颁发荣誉和奖励、落后也颁发“落后荣誉”。

这里仅公布名次和全公司百分比占比,在不伤害员工自尊心的前提下,充分调用员工的自尊心。

结论:开放型公司可取,军事化公司也适用

d)   个人安全知识竞赛,利用小奖品,并和攀比心挂钩

利用公司内部各种交流系统,如bbs等,组织线上或线下安全知识竞猜,通过奖励鼓励更多人参与,提升整体员工安全知识水平。并利用奖励分级鼓励学习更多安全知识。可全员公布结果,给出排名,激励员工攀比多学习。

结论:开放型公司可取,军事化公司也适用

e)    团体安全知识竞赛,和集体荣誉感挂钩

安全知识竞猜以集体形式设计,普通员工权重1,底层领导5,中层领导10,高层领导50。全员公布集体评比结果,下级push上级,反向驱动领导层参与学习,或上级为了集体荣誉积极主动参与,从而达到提高领导层安全意识,推进自上而下的安全建设的目的。

结论:开放型公司可取,军事化公司也适用

2、安全很重要,但是怎么了解更多?

存在这种思想的员工并不多,很值得安全人员珍惜,他们有强烈的学习愿望,并且看到周围不安全的事情会自觉成为教导员,是安全教育的一支生力军,所以我们需要提供方案给与更多激励和便利。

a)    提供安全知识学习机会,鼓励充当安全宣传员,和个人荣誉挂钩

这部分员工已经有很好的态度了,但是需要学习更多安全知识来了解安全风险并最终充当安全教育的先锋。内部架设学习平台,鼓励学习并积分,定期积分奖励,并设立安全课程,鼓励其参与授课。提升员工的自我荣誉感和价值感。

结论:开放型公司可取,军事化公司也适用

领导的心理&解决思路

1、安全重要吗?以完成业务为中心,完全不关心安全问题

领导一般都需要带领整个集体完成项目,结果导向,压力较大,我们需要从多角度“进攻”才能达到我们的目的,方案如下:

a)     重点攻关,业内案例轰炸,提升其危机意识

填塞式教育,定期或基于事件推送业内风险,案例形式说明影响,并延伸解释公司业务面临同样危险的损失,尤其需要强调领导个人后果,如被迫离职等,让其触目惊心。

让领导对安全有敬畏之心,才可以提升其安全意识,最终提升其将安全落实到业务的决心。

结论:开放型公司和军事化公司都行。

b)    展示下属安全风险、各类安全竞赛下属或下属组织排名,激发其好胜心

对领导以不记名方式公布各类安全相关风险或比赛的下属排名,如有必要公布其他团队的成绩,激发领导的好胜心,迫使其自上而下传递重视安全的态度。

领导层之间会定期沟通了,比赛结果极可能成为他们的谈资,那落后就会被奚落,丢面子是领导层最不希望的结果。

结论:开放型公司和军事化公司都行。

c)     安全演习,模拟窃取敏感数据,让领导意识到风险的迫切,激发其对安全的敬畏之心

定期渗透测试,针对系统、软件攻击,在可控的情况下窃取敏感数据,并将演习结果汇报给领导,让其意识到安全风险无处不在,提升其对安全建设工作的敬畏之心。

结论:开放型公司和军事化公司都行,但相对来说军事化公司估计会把演习结果作为惩处依据。

d)    安全人员上门宣讲安全风险,给领导做安全教育

安全人员和领导约时间,定期汇报安全风险,激发老板重视度。但此方法只能靠不断重复来让领导闹心,就像小时候妈妈天天教育你写字要姿势正确,但最终重视会重视?你觉得呢?

结论:都可以试一试,万一有用呢

2、安全重要,我怎么提升?我怎么体现我的成果?

这类领导是安全人员个救星,我们需要提供360度的贴心服务,毕竟服务好一个人,可以让一个团队的安全问题都解决!

a)     展示管理范围整体安全风险,给出解决方案,给出风险下降趋势

此类领导安全意识非常高,自我需要把控管理范围内的整体安全,所以需要安全部门整体呈现,并给出专业建议。同时也可对下属整体的安全提升情况进行了解,便于考核时的自我心里印象评估。同时如提升明显,还可以作为其业绩向上层领导汇报展示,一举多得。

结论:开放型公司和军事化公司都行

综上,为了实现我们安全教育的目的:全员动起来,尤其让领导动起来自上自而下的提高员工安全意识。

我们的套路总结如下:

1、个人安全风险展示激发员工自尊

2、个人或集体安全知识竞赛,激发攀比心和集体荣誉感

3、对领导进行案例轰炸,下属安全积分排名展示,激发其好胜心

4、对领导汇报安全演习窃取成果,赤裸裸的展示风险,激发其对安全的敬畏

5、对领导提供整体安全趋势展示和修复建议,安全部门坐享其成

此外,再对安全教育做法的各种花式落地的可行方案探讨下:

1、 安全教育的宣传文章怎么让员工愿意看呢?

内容逗比肯定是必须的,但看文章每月次数排名、时间排名、有价值评论等都可以作为奖励机制,例如到达一定值可抽奖就是不错的思路。小小的奖励可以激发无限热情,从互联网的各种奖励活动动辄获取几十万的用户就能理解了。

2、怎么实现安全竞赛的目的:让大家学习到更多的安全知识?

竞赛的目的其实是让员工学习,不是让员工拼名次。那开卷答应该是必要的,让员工多查资料或给他们提前设计好学习资料才是更好的办法。当然可以尝试设计一些安全专用名字,例如水坑攻击、apt攻击等,让他们通过查询了解基本概念,这样也就提升了安全意识。

3、安全演习能否提升员工的安全意识?

 安全演习不仅为了让领导重视安全,也可以用来提升员工的安全意识。演习召集全公司对有安全兴趣的个人,演习全员实时或后期展示,用突破过程震撼全员,同时公布突破方法,让更多人学习安全知识。

好了,说了这么多,也只是给各位大神提供一个思路罢了,具体安全教育方式多种多样,就像每个母亲都在教育自己的孩子,虽然方式不同,但最终目的都是为了子女成才。安全教育看似简单,实则需要我们从业人员再多想想,多尝试!欢迎私信探讨!

*本文作者:ChuanFile,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

发表评论

已有 12 条评论

取消
Loading...
css.php