There is an elephant in the room.
这句习语源于一则寓言故事:有个人参观博物馆,他在那里仔仔细细观察了很多小昆虫,但是却没有注意到屋子里的大象。后来这一表达被用于比喻“人们不愿提及、刻意忽视的棘手问题”。
我们曾经接触过一些项目负责人,网络安全意识宣贯既不是他们的本职工作,也不是他们在工作中的优选处理事项。起初他们打算自己制定一套方案去执行,但由于工作繁忙无暇分身,或是有心做事但无从下手,久而久之,意识宣贯就成了他们视而不见的问题。
事实上,这并不是他们的错,没办法制定一套完整且适配的网络安全意识培训计划,是因为他们并不清楚当前企业网络安全意识的具体情况。
为了让企业更好地识别他们所处的位置以及开展培训工作,我们将网络安全意识的成熟度分为三个阶段。
第一阶段:毫无意识
处于成熟度第一阶段的组织通常是没有IT/安全部门的小型企业,网络安全不是他们的优先事项,他们既没有时间也没有预算,所以在网络安全意识培训方面鲜有作为,他们甚至不会主动提醒员工“不要点击不明邮件”,这也是为什么该阶段的组织最容易受到网络威胁的原因。在这个阶段,几乎没有人关心网络安全意识培训,他们甚至从未听说过“安全意识”,直到出现问题,才开始被迫了解这个概念。
这个阶段的声音都迷之自信:
“谁会想要入侵我”
“我们的员工不在乎这些”
“这么小的企业哪个黑客会惦记”
“我们花时间和金钱在这上面没什么意义”
“我们以前从未被入侵过,所以我们现在为什么要关心?”
第二阶段:有所作为
处于第二阶段的组织,通常因为某些事件的发生而被迫“采取行动”。这些事件可能包括行业合规要求、供应商合同条款,或存在违规行为等。这类组织整体预算有限,意识培训负责人通常身兼数职。他们最关注的是是否合规,而不是能否建立更好的安全文化和改变员工的不安全行为。这类组织较第一阶段有所提升但依旧非常危险,因为他们的“应付”行为带来的安全感并不是完全真实的。
这个阶段的声音都带有特别的目的性:
“我们不想只为培训付费”
“保险公司说我们需要尽快完成培训”
“刚刚系统被黑了,看看培训PPT是怎么解决的”
”学没学到知识没关系,员工只需走个过场就够了”
“为了完成这次审计,每名员工都必须参加年度培训”
第三阶段:卓有成效
第三阶段是网络安全意识的成熟阶段,到达这一阶段的组织很清楚,开展安全意识培训对员工的长期行为和网络安全有积极的影响,合规性不再是主要驱动力。他们通常会成立一个小型安全团队,或聘请专业的网络安全意识培训团队,专注于预防网络威胁,定期进行各种形式的宣贯活动,关心活动的有效性。员工成长、安全文化的价值开始成为这类组织的优先事项。
这个阶段的声音有满满的责任感:
“员工安全第一”
“我们更关注安全文化而不是合规性”
“我们一直在寻求从员工反馈中改进”
“模拟网络钓鱼是必不可少的互动学习方式”
“我们需要一些有趣的东西来提升员工使命感”
无论一个组织的网络安全意识成熟度如何,了解当前所处位置和明确提升目标都非常重要。如果您的组织处于第一阶段,您希望何时进入第二阶段?如果在第二阶段,怎么能进入第三阶段?
但可以肯定的是,每个阶段之间都有很长的路要走,需要时间,更需要努力。
推进网络安全文化建设,对于政企单位的持续发展和长治久安具有至关重要的作用。承制科技专注于网络安全“人的因素”,可以为政企单位提供涵盖日常宣贯、宣传月、宣传周、宣传日等活动传播在内的全方位、定制化的网络安全宣传教育方案和个性化产品及服务,欢迎咨询合作。