信息安全意識是企業安全建設的基石,只有基石牢固,才能鑄造穩固的城牆。但是往往越是基石,越不被重視,最後在高昂的設備和技術防護下,出現安全事件。信息安全意識的提升有很多種方式,常見的有培訓、考核、海報、視頻、軟文、活動等,但是比較成熟的做法是信息安全意識培訓。
筆者看過很多培訓素材、也找過服務商做意識類培訓,但是效果並不明顯。經過不斷反思和總結,我找到一套很適合安全意識培訓的方法。這套方法,我稱之為安全意識培訓“四步法”。本文就跟大家分享下這套方法,或許對你也有啟發。
在進行安全意識培訓的時候,核心點有四個:
第一是在培訓開篇引起大家的興趣,願意放下手機聽你講;第二是要跟學員互動,讓大家感知到安全意識的重要性並有參與感;第三是要有充足的案例,最好是企業內部的案例,把枯燥的課程用案例變得趣味生動;第四是跟公司的業務、部門或具體項目掛鉤,引起學員的思考,這樣才能在培訓結束後落地執行。
“四步法”就是把安全意識培訓的PPT分成了四部分:引言篇、概念篇、規範篇和案例篇,引言引起大家的興趣、概念進行知識科普、規範用來闡述風險及要求、案例用來分析反思。
No.1 引言篇
安全意識培訓的第一部分是引言,你也可以命名為序言、開卷等自己喜歡的名字,本部分的目的是調起大家的興趣、讓大家知道什麼是信息安全意識、為什麼要進行安全意識的培訓及安全意識跟我有什麼關係。常見的序言開篇有四種方式:
1. 視頻為引。選擇一段安全意識相關的視頻,比如《唐人街探案》中女黑客的視頻剪輯、《速度與激情8》中殭屍汽車的剪輯、《幽靈》中黑客視頻剪輯或在抖音搜索相關視頻剪輯。視頻往往能吸引學員的注意力,引出他們的興趣。
2.故事為引。選擇一個意識相關的故事,比如袋鼠跑出籠子,飼養員不斷加高圍牆,加到100米的時候,長頸鹿問袋鼠“你明天還出去嗎?”“應該會出去,如果他們依然忘記關門的話。”袋鼠回答。這個故事就很好的詮釋了意識的重要性,如果意識不到門沒關,一味的加高圍牆,只能是本末倒置。
3. 題目為引。開篇可以放幾道選擇題,讓學員選擇,既可以互動又能很好的引出培訓的主題。比如:你有如下的經歷嗎?
A. 經常被營銷電話騷擾
B. 快單直接丟棄
C. 街頭調研經常會留下真實的姓名和電話
D. 經常收到中獎的消息
問題跟學員的日常生活息息相關,讓大家很快就能進入聽課的狀態。
4. 熱點為引。熱點事件,如微盟刪庫、微博數據洩露等熱門事件作為開篇引導,會激起大家的好奇心。
No.2 概念篇
當大家進入聽課狀態後,要給大家進行安全概念的普及。什麼叫信息安全?信息安全的範圍很廣,本課程所講僅限於保護企業資產的安全性(根據實際情況自己修訂)。企業有哪些資產、這些資產都在哪裡、跟我們有怎樣的關係?信息安全相關的趨勢是怎樣的?法規有哪些?如果違反規定,有哪些處罰措施或後果。這些都是概念篇需要解決和科普的內容。
No.3 規範篇
介紹了信息安全的概念,接下來就要劃重點了。既然信息安全如此重要,我們要怎麼做才能保障安全呢?一般來講,信息安全意識規範可概括為七大類,具體如下:
1、賬戶安全
幾乎每個人入職初都會領取辦公電腦,拿到電腦的第一步就是開機設置密碼,所以從賬戶安全開始。賬戶安全常見的風險包括共享賬戶、使用自動保存密碼、設置弱密碼或空口令。所以該部分的安全規範為禁止賬戶共享、慎用自動保存(我司不強制,只做提醒,所以用慎用)及密碼安全(8位:大小寫字母+數字+特殊字符)三部分。
2、軟件安全
領取電腦後,開始安裝軟件,故第二部分為軟件安全。軟件安全常見的風險包括下載未知軟件、不安裝殺毒軟件、私自安裝商業軟件。所以該部分的安全規範為禁止在互聯網下載軟件,可以在公司的軟件庫(我司維護有軟件庫,常用的辦公軟件都有,經過安全檢測無毒無彈窗)下載,如果沒有軟件庫可建議到官方下載,需安裝殺毒軟件(公司統一殺毒軟件或其他推薦殺毒軟件均可),預防病毒,禁止私自安裝商業軟件,會帶來法律訴訟風險,如需安裝需上報IT部進行申請。
3、郵件安全
收發郵件是日常工作必不可少的部分,伴隨的安全風險也不可忽視。如誤發郵件、錯發郵件導致的信息洩露、敏感資料不加密或加密的密碼直接放在郵件中、收到釣魚郵件或垃圾郵件等。該部分的安全規範為仔細核對收件人、抄送人和郵件內容,規避誤發、錯發導致的信息洩露、敏感資料加密發送,禁止直接粘貼到郵件正文,收到釣魚、垃圾郵件要上報。
4、社交安全
現在的工作生活均離不開社交軟件和工具,微信、抖音、微博、QQ等。社交安全其實主要有二大點要注意,其一是收到的信息要仔細分辨(如騙子冒用同事信息騙取公司資料、離職員工索要公司資料),其二是發出去的信息要謹慎(不能發反黨、反政府、色情暴力等敏感言論,不能通過社交軟件發送公司敏感信息、不能在朋友圈發送工作信息)。
5、個人隱私
個人隱私部分跟每個人都息息相關,該部分的風險在於日常工作中的一些不良習慣,如快遞單直接丟、街頭調研填寫真實信息、***複印件不添加簽注等。該部分的規範為,養成安全小習慣,快遞單撕毀後或用馬克筆塗掉個人信息(姓名、電話、住址)後在丟棄,街頭或網絡調研,儘量不要填寫個人真實信息,因為你不知道這些信息會被怎麼處理,會不會發給黑中介導致電信詐騙?***複印件一定要加簽注,如下圖所示。***不添加簽注被盜用的風險極高,如去辦理網絡貸款等。
6、辦公安全
辦公安全是指日常工作中的規範要求,如離開工位要鎖屏、打印文件及時取、會議信息要擦除、敏感文件使用碎紙機、公司信息禁止上傳到百度文庫、百度網盤、Github等。
7、電信詐騙
電信詐騙是一個較複雜、多維度的事件,可以放在安全意識培訓中,也可以不放。為幫大家更好的分類彙總,這裡也同步介紹。電信詐騙的套路都是一致的,如下圖:
對於電信詐騙的防護,接到陌生電話如果涉及洗錢、轉賬、公檢法相關的直接掛掉就好,不要糾纏也不要想著反套路,術業有專攻。多關注媒體、公安部門通報的案情,增長防騙知識,如接到詐騙電話最好反饋給行政,進行內部信息共享,規避其他同事上當。
No.4 案例篇
本部分主要是對案例進行剖析,選擇一些有代表性的案例,讓大家結合前面學到的知識去分析,案例是如何發生的?怎樣可以規避。藉助案例讓學員回顧前面的內容,與學員增加互動,並應用到案例中。
圖中案例為某公司的攝像頭被入侵,入侵成功的關心因素是監控後臺資料,包括監控系統的地址、部署方式被上傳到百度文庫(辦公安安全)、使用弱密碼admin88(賬戶安全)。
最後就是致謝和答疑,也是檢驗你培訓效果的時刻。如果很多人跟你溝通,反饋問題,基本上你的培訓比較成功,學員認真聽了課程並開始反思。如果沒有人和你溝通,課程結束後就散開或趴下睡覺,那估計效果並不好,因為學員沒有觸動。當然也不絕對,安全都是相對的,何況是安全意識培訓。祝每位安全從業者的每次培訓,都能讓安全建設的基石更牢固!
閱讀更多 e安教育 的文章
