伟大的企业建立在伟大的人之上,这是一个不争的事实。
优秀的员工能让企业不断“升值”,粗心的员工能让企业坠入深渊。
国际知名风险管理机构Deloitte 不久前出示过一份报告:85% 的网络攻击事件的发生,都是因为员工执行了某些有利于攻击者的操作:他们或者点击了电子邮件中的链接,或者下载了受感染的附件,或者在钓鱼网站中输入了登录名和密码凭据。
国际知名网络安全专家Bruce Schneier曾经说过:“网络安全威胁形势越来越以人为中心。只有业余爱好者才会攻击机器,专业的黑客更喜欢从人下手。”
什么是以人为本的安全意识文化
网络安全时代,黑客,可能比企业更懂得什么是以人为本。他们把人类行为拿捏的恰到好处,等待员工主动犯错并抓住机会予以惩戒。
从强袭硬刚到攻心智取,我们可以看出黑客的手段在不断发生变化。这个时候企业应该怎么办?坐以待毙?No!主动出击?Yes!
既然黑客把焦点对准了人,那么企业必须打破员工的违规操作,传递安全的行为意识,这是应对网络攻击的最佳方式,更是企业必须要建立的以人为本的安全意识文化。
为员工提供网络安全诈骗知识,可以为员工建立“安全第一”的心态。通过使用正确的方法来传递和培养这种安全意识,自然而然会形成以人为本的安全意识文化。
为员工提供网络安全诈骗知识,可以为员工建立“安全第一”的心态。通过使用正确的方法来传递和培养这种安全意识,自然而然会形成以人为本的安全意识文化。
安全意识文化的组成部分
文化是由构成一个群体或社会的规范和行为定义的。
通常情况下,一种文化会融入它的矩阵、系统,这些系统使社会中个人的生活更轻松、更成功。一个组织,就像一个城市或国家一样,可以创造文化,因为它也是由个人组成的。
良好的网络安全文化需要员工有意识地去改变行为,但仅凭意识并不能创造这种文化,还需要多方面、多维度的努力。
设定安全行为基线
安全行为基线可以了解一个组织当前的安全状况以及需要做些什么来获得提升。这需要企业使用各种方法来收集设定基线所需的数据,比如通过网络钓鱼模拟测试获取员工的行为弱点,制定以人为本的针对性宣教计划。
社交学习
文化建立在人类社会互动的基础之上,源于人们在彼此之间传递信息、知识和技能。民间故事就是社交学习的一个很好的例子,通常旨在改变行为。例如,不要单独进入森林,否则大灰狼会吃掉你。
网络安全意识学习也是与员工一起工作、社交、互动和参与的一个过程。使用社交学习类型的场景传递安全意识,对于员工的意识提升效果非常显著,例如小游戏、交互式演练和沉浸式培训。
保持积极的安全行为
持之以恒,是创建以人为本的网络安全意识文化的重要部分。想要保持积极的安全行为,必然需要持续的安全意识培训。
为什么需要定期进行安全意识培训?首先,网络威胁形势在不断变化,网络犯罪分子不断地在改变他们的行为和策略来欺骗员工。其次,定期培训可以让员工将网络安全放在第一位,这有助于维护企业安全文化。
员工价值传递
普华永道的一项研究发现,近四分之三的受访者担心如果报告安全问题会遭到问责或惩罚。
不要过度责罚不小心打开网络钓鱼邮件或点击恶意链接的员工,相反,可以将其用作学习案例。确保让员工知道他们是解决方案的一部分,而不是问题的一部分。只有让员工消除恐惧,网络安全文化才能持续存在。
以人为本的安全意识文化不是一蹴而就的。但是,只要夯实宣传教育“地基”,企业很快就能看到,员工的网络安全行为意识正在朝着积极的方向发展。
推进网络安全文化建设,对于政企单位的持续发展和长治久安具有至关重要的作用。承制科技专注于网络安全“人的因素”,可以为政企单位提供涵盖日常宣贯、宣传月、宣传周、宣传日等活动传播在内的全方位、定制化的网络安全宣传教育方案和个性化产品及服务,欢迎咨询合作。