许多企业安全部门可能专注于软件/硬件安全解决方案的采购和部署,重点是技术和防御,同时有选择地忽略或没有更多的预算投入。事实上,人防和技术防御处于同一重要地位。基于技术的解决方案可以涵盖有限的领域。即使公司花了很多钱建立安全线,有时内部人员的一个小错误也可能使企业进入企业。处境岌岌可危。
从攻击者的角度来看,攻击者越来越关注终端用户的行为心理,并通过各种方法绕过企业的安全防御策略,不断实现目标。水坑攻击和鱼叉式网络钓鱼攻击是两种典型类型。方式。
要建立“人民防线”,必须要有良好的人事运作机制和安全意识改善计划。通过制定全面的安全意识改进计划,员工可以主动承担责任,更好地保护企业数字资产和知识产权。此外,从更高的角度来看,员工可以将他们学到的知识扩展到他们的个人生活中,从而使更多的家庭受益。
2016年,Gartner发布了一份安全指南,建议在预算紧张时帮助中小企业提高安全意识。三年过去了,网络空间的形状发生了很大变化。因此,Gartner的安全专家重写了本指南并提出了几种简单,可行和直接的方法,并且仍然坚持“动员最少资源”的原则。
安全意识
方法一,简单明了的消息通知
(1)内联网横幅
使用在线广告的概念在公司内部网页的顶部添加横幅,以促进安全意识的建立和传达安全消息的能力。
(2)登录消息
Microsoft Word和Unix等应用程序和操作系统为管理员提供了一种在系统登录时发送消息的方法。管理员可以自定义消息推送,以提醒用户遵守哪些安全要求,推送最新的安全提示或传输任何消息增强安全性。但请注意,信息应保持简短,不要经常发送。如果信息复杂或持续推动,将减少其对用户的印象,并且某些国家和地区可能存在违法的风险。
(3)阻止的站点页面
限制员工访问各种网站(包括社交媒体,搜索,购物等)或阻止访问被认为有风险的网站是企业内部的常见安全策略。但是,请注意不要仅使用Web阻止服务提供商提供的默认“阻止站点”页面,只需写入“违反公司安全策略”。最好在页面上为被阻止的站点创建自定义消息,告诉用户他们无法访问该站点的原因。使用“被阻止的站点”为员工提供额外的内容,供他们阅读或查看相关联系人的信息,从而创造良好的主动学习机会。方法二,各类会议
(1)远程培训
如果公司规模庞大,将所有员工聚集在一起进行培训是不方便的。可以进行在线视频培训。员工无需离开办公桌即可参加。通常,它适用于共享安全提示,例如安全提示和问答。
(2)与安全监督员共进午餐
与安全管理人员一起组织午餐是向特定受众传达关键信息的简单而有效的方式。另一方面,现实生活中的讨论可以提高员工敬业度。
(3)行业专家的现场培训
邀请外部行业专家(如执法或专业公司)进行现场演示,为观众提供与安全行业领导者和从业者互动的机会。受邀的行业专家可以通过讲故事,使整体内容更有趣并吸引观众来分享真实的信息和体验。
方法3,增加安全专家的出现率
(1)拍摄短片
内部安全专家可以尝试针对特定主题拍摄一些小视频,解释每个问题并提供解决方案,清楚且有意识地传达信息,并拉动员工与内部安全人员之间的距离。增加安全专家的外观有助于提高员工对专家的熟悉程度,提高视频的点击率和未来离线会议的参与率。这些视频可以存储在Intranet主页的固定区域中。
(2)特殊通讯邮箱
企业可以设置专用于安全问题的内部邮箱,与员工保持持续的沟通渠道,并提供必要的信息交流。此邮箱可用于回答安全问题或提供反馈。然后,邮箱管理员可以将问题和答案上载到企业内的常见安全问题和答案页面。这样,您就不必与人面对面交流。这是一种低投入的互动形式,可能对某些员工更具吸引力。
(3)定位安全专家站
安全专家的工作站可以更加开放,增加食物供应和舒适的座位等。正式鼓励员工坐下来与安全专家交谈。在舒适的环境中,员工更愿意发言并提出一些关键点。问题。除了被动接受员工咨询外,您还可以主动向讨论发送邀请。
(4)写博客
撰写博客是增加长期关注者和巩固相关领域安全专家权威的一种方式。建议不要写博客特别具有前瞻性。最好的方法是“保持真相”,有故事,有细节,增加员工的替代感,帮助建立长期关系,促进员工安全意识的发展。其次,博客的篇幅不一定很长。越短越好,讲述事情的前提越好。
方法4,让员工参与更多
(1)摄影比赛
企业可以通过非直接和基础的活动从侧面提升员工安全意识。例如,举办摄影比赛,过程相对简单,用户体验也非常友好,并且能够联系并吸引各个部门的员工。照片竞赛可以围绕安全主题设定游戏目标和规则,例如为员工提供安全的照片。吸引企业高管可以大大增加活动的影响力,也可以显示高管对安全的重视程度。此外,此类活动的推广范围要广泛得多,除了公共邮寄方式外,还可以在开幕会议期间通过管理渠道加以强调。当然,奖品的质量直接决定了活动的数量和质量。(2)保安站
安全站可以是公共显示和交互区域的形式。它可以提供一些处理过的数据图表,让员工更直观地了解安全状况。如果你能提供模拟安全攻击的交互式项目或小游戏会更好。例如,如何在计算机上出现勒索软件时正确地修复勒索软件,高级交互的形式可以使参与者更加致力于解决安全问题。
(3)进攻和防守比赛
根据公司自身情况,可以在严格的限制和手段下进行一系列网络攻防竞赛。例如,针对公司员工面临的主要网络风险,——网络钓鱼电子邮件,进行竞争。游戏可分为攻击者和防御者。攻击者对防御者进行网络钓鱼攻击,而防御者需要处理大量邮件以避免踩到坑。最成功的攻击者和踩到坑的最少防守者可以从公司获得奖励。有必要注意竞争的手段和措施,并澄清与企业正常业务的界限。
(4)将安全性扩展到私人时间
员工可以携带不再使用或准备丢弃的旧设备给公司。安全专家将解释和指导如何清除个人信息并消除因丢弃或转售而导致的安全风险。将来,在处理客户或企业数据时,请采取相同的措施。
方法5,积极奖励
(1)对员工进步的积极反馈
当公司的高级管理人员看到员工在保护公司方面的努力和成就时,他们可以通过颁发证书,留下手写的留言卡,通过电子邮件发送感谢信以及提供礼品卡来奖励这些员工。由于他们的安全行为,加强了员工在企业安全建设过程中的主观能动性。
(2)建立一个整体规则
建立点规则的目的是实施长期奖励计划,该计划奖励可用于在内部商店或外部供应商处购买商品的员工积分。这种持续的奖励制度不断激励员工,建立长期的安全意识,并表达对员工的感激之情。
(3)给予虚拟奖章
如果公司的内部通信或协作软件支持虚拟奖章或自定义头像,您可以为积极参与企业安全构建的员工打开虚拟安全奖章。虽然这种形式不会给员工带来任何真正的回报,但它可以促进安全意识的发展。
(4)与CEO共进午餐
员工与CEO或其他高级经理相处的时间可能很短。公司可以为员工提供与首席执行官或管理团队共进午餐的机会,这是相对罕见的,以表明高级管理层重视安全。可以邀请几名员工同时共进午餐,没有任何正式议程,员工可以提出问题并了解业务领导和其他情况。
(5)促进精干的员工
业务负责人可以将在企业安全建设中表现良好的员工提升为安全运营负责人的角色,在业务流程中提供更多安全声音并加强他们的领导力。企业可以将此链接添加到KPI评估机制中的奖励积分,在促销评估中给予积极反馈,并在公司内部报告结果,为员工参与安全建设增加更多动力。方法六,保持清醒
(1)安全日历
通过上面提到的电子邮件,海报,内联网消息或内联网横幅定期推送的短期安全提示,以通知当前的安全威胁和可能面临安全事件的公司。并与公司内部数字营销团队合作,通过点击率了解数字流量和员工关注度。
(2)梳理对话的要点
安全专家可以为管理人员提供一系列注释,以增强团队会议的安全内容部分。安全建筑的核心内容应该是一致的,但每个团队经理都可以根据自己的团队文化进行定制。
(3)想象的练习
团队领导者可以在内部会议期间提出一些安全威胁的幻想,供所有人讨论。通过倾听对话,团队负责人可以判断团队是否理解他们在保护公司安全方面的责任,并在发现问题时提供额外的帮助和培训。这种方法也是促进协作思维,使员工能够在安全的社区环境中表达想法和实施行动的好方法。