|
安全易视:弥补企业信息安全中“人”的短板
2011年度报告与2010年度报告相比,企业员工的信息安全意识依然缺乏。不过好消息是,员工开始认识到信息安全意识的重要性,希望能够得到企业的培训帮助。另外,不同行业对信息安全的重视程度不一样,导致员工的信息安全意识也不尽相同。金融行业和运营商相对重视员工安全意识教育和培养,所以员工的信息安全意识相对来说比较高。
近几年,人们对于信息安全的认识虽然在与日俱增,但“人”依然是企业信息安全的短板,许多安全问题都是由于“人”的自身意识较低所导致。据最新调查数据显示:52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看;选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的受访者所占比例仅为25.4%;接近50%的受访者表示所在企业不会马上对密级资料进行粉碎处理;有33%的受访者会在电脑桌面存放密级资料;39.2%的受访者暂时离开电脑不会锁屏;当收到熟悉发件人发送的自动播放Flash动画或邮件内部嵌入的网页时,59.2%的受访者会看动画、下载动画、浏览网页或点击网页链接;41.1%的受访者会点击网页上吸引自己的链接;47.4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过;35.8%的受访者不知道公司的信息安全策略的相关规定。同时有31.7%的受访者不知道自己违反信息安全制度所在企业惩治措施;52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理…… 不容乐观的中国企业员工信息安全意识现状 “当前中国企业员工的信息安全意识用四个字来说就是‘不容乐观’!因此,提升企业员工的信息安全意识水平‘刻不容缓’!”这是谷安天下副总经理魏彩霞女士在接受笔者专访时对中国企业员工信息安全意识现状做出的评价。 作为专业的咨询公司,谷安天下特别容易发现企业一线存在的信息安全问题。2010年、2011年谷安天下连续两年做了全国企业员工信息安全意识调查,最新报告显示:工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑屏保与密码设置、电脑桌面安全、暂时离开电脑、熟悉发件人发的链接和动画处理方式、网页弹出的链接处理、对公司信息安全相关规定的了解、遇到信息安全事件的处理方式等相关安全意识相对较差。 2011年度报告与2010年度报告相比,企业员工的信息安全意识依然缺乏。不过好消息是,员工开始认识到信息安全意识的重要性,希望能够得到企业的培训帮助。另外,不同行业对信息安全的重视程度不一样,导致员工的信息安全意识也不尽相同。金融行业和运营商相对重视员工安全意识教育和培养,所以员工的信息安全意识相对来说比较高。 世界头号黑客凯文?米特尼克(Kevin David Mitnick)说:“人是比较薄弱的环节,你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。再好的信息安全产品都需要人来使用,而人总是有办法发现安全产品的“漏洞”,绕过安全产品的监控、防护。缺乏信息安全意识的人,难免会被黑客所利用,给企业带来意想不到的安全隐患、安全威胁。 信息安全意识培养也要“润物细无声” 提到培养员工的信息安全意识方式方法,人们首先想到的就是“培训”——规模或大或小、时间或长或短的各类培训。大多数企业都曾做过,但效果并不好,为什么?讲课为主的培训方式过于枯燥,每年培训仅仅一两次,频度不够……培养企业员工的信息安全意识是一个系统工程,需要长期坚持、持之以恒。但是培训宣讲的枯槁性和组织培训的复杂性等特点决定了“培训”不是一种很好的信息安全意识宣贯方式。 正是基于此,谷安天下开创性的研发了针对企业员工信息安全意识培训用的“信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板”信息安全意识产品。通过这些产品,把信息安全意识的宣贯渗透到员工的生活中去,打造全方位、立体化的信息安全意识宣贯方式。以“润物细无声”的方式去做信息安全意识工作会取得非常不错的效果。 信息安全意识培养需要“看得懂、喜欢看、记得牢” 如何才能让非专业安全人员的企业员工拥有良好的安全意识?办法只有一个,那就是把专业的知识转化成通俗易懂的内容。把深奥枯燥的理论知识,做成生动形象的故事,并用夸张的方式展现出来,让员工看得懂,并且喜欢看,而且记得牢! 谷安天下研发了上百集的信息安全意识动画片,一个动画片用1分钟左右的时间讲一个信息安全知识点,讲一个注意事项,非常生动,看后让人久久难忘。“我们曾经有一个客户买了我们的信息安全意识短片,放在电梯的播放器里,大家都非常喜欢看,还有的嫌看的不过瘾,专门跑到电梯里上上下下来看的。这种方式非常受欢迎!在开心快乐看片中,不知不觉提升了员工的安全意识。” 魏彩霞在介绍谷安天下经验的同时小小的做了一个广告:“目前谷安公司正在搞推广活动,2万元可以买到30集信息安全Flash动画片,而企业自己制作30集动画片的成本至少要几十万。非常超值!” 对于专业的安全从业人员,比如企业里的网络管理员、安全管理员也是需要信息安全意识教育的。因为他们虽然技术专业,但信息安全意识未必强,有可能被社会工程学所利用。 在对企业员工进行安全意识培养前,要提前沟通发现企业员工的信息安全意识薄弱点,针对存在的问题进行培训,而不应仅仅进行通用性的信息安全意识培训。 信息安全意识培训是场持久战 提升企业员工信息安全意识是一个全方位、立体化、持之以恒的工作,不是一朝一夕、三分钟热度就可以做好的。而且方式要灵活多样、风趣幽默、寓教于乐! 现在企业所面临的70-80%的威胁都来自于企业内部员工有意识和无意思的行为。许多企业领导也很重视信息安全意识问题,但却无法通过正确的方法来提升企业员工的信息安全意识。对于企业员工信息安全意识的培训应该多样化、趣味化,更具灵活性,多方式、多手段的对员工进行信息安全意识的长期性培训,从潜移默化中影响企业员工安全意识。甚至可以考虑将企业员工信息安全意识纳入到企业文化中。信息安全意识培养工作要无处不在,要随时随地的进行。
责编:孔维维
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|