信息安全意識培訓可以這樣做
安全意識的淡薄,總能讓我們看到聽到一幕幕血的教訓。
信息安全意識是企業安全建設的基石,只有基石牢固,才能鑄造穩固的城墻。但是往往越是基石,越不被重視,最后在高昂的設備和技術防護下,出現安全事件。信息安全意識的提升有很多種方式,常見的有培訓、考核、海報、視頻、軟文、活動等,但是做的比較成熟的是信息安全意識培訓。
我看過很多培訓的素材、也找過服務商做意識類培訓,但是效果并不明顯。經過不斷反思和總結,我找到一套很適合安全意識培訓的方法,至少在我們公司運行比較成功,從剛開始對安全的漠視到現在開始主動找安全部門反饋和上報問題。這套方法,我稱之為安全意識培訓“四步法”。本文就跟大家分享下這套方法,也許對你也有啟發。
在進行安全意識培訓的時候,核心點有四個。第一是在培訓開篇引起大家的興趣,愿意放下手機聽你講;第二是要跟學員互動,讓大家感知到安全意識的重要性并有參與感;第三是要有充足的案例,最好是企業內部的案例,把枯燥的課程用案例變得趣味生動;第四是跟公司的業務、部門或具體項目掛鉤,引起學員的思考,這樣才能在培訓結束后落地執行。“四步法”就是把安全意識培訓的PPT分成了四部分:引言篇、概念篇、規范篇和案例篇,引言引起大家的興趣、概念進行知識科普、規范用來闡述風險及要求、案例用來分析反思。
一、引言篇
安全意識培訓的第一部分是引言,你也可以命名為序言、開卷等自己喜歡的名字,本部分的目的是調起大家的興趣、讓大家知道什么是信息安全意識、為什么要進行安全意識的培訓及安全意識跟我有什么關系。常見的序言開篇有四種方式:
1. 視頻為引
選擇一段安全意識相關的視頻,比如《唐人街探案》中女黑客的視頻剪輯、《速度與激情8》中僵尸汽車的剪輯、《幽靈》中黑客視頻剪輯或在抖音搜索相關視頻剪輯。視頻往往能吸引學員的注意力,引出他們的興趣。
2. 故事為引
選擇一個意識相關的故事,比如袋鼠跑出籠子,飼養員不斷加高圍墻,加到100米的時候,長頸鹿問袋鼠“你明天還出去嗎?”“應該會出去,如果他們依然忘記關門的話。”袋鼠回答。這個故事就很好的詮釋了意識的重要性,如果意識不到門沒關,一味的加高圍墻,只能是本末倒置。
3. 題目為引
開篇可以放幾道選擇題,讓學員選擇,既可以互動又能很好的引出培訓的主題。比如:你有如下的經歷嗎?
- 經常被營銷電話騷擾
- 快單直接丟棄
- 街頭調研經常會留下真實的姓名和電話
- 經常收到中獎的消息
問題跟學員的日常生活息息相關,讓大家很快就能進入聽課的狀態。
4. 熱點為引
熱點事件,如微盟刪庫、微博數據泄露等熱門事件作為開篇引導,會激起大家的好奇心。
二、概念篇
當大家進入聽課狀態后,要給大家進行安全概念的普及。什么叫信息安全?信息安全的范圍很廣,本課程所講僅限于保護企業資產的安全性(根據實際情況自己修訂)。企業有哪些資產、這些資產都在哪里、跟我們有怎樣的關系?信息安全相關的趨勢是怎樣的?法規有哪些?如果違反規定,有哪些處罰措施或后果。這些都是概念篇需要解決和科普的內容。
三、規范篇
介紹了信息安全的概念,接下來就要劃重點了。既然信息安全如此重要,我們要怎么做才能保障安全呢?一般來講,信息安全意識規范可概括為七大類,具體如下:
1. 賬戶安全
幾乎每個人入職初都會領取辦公電腦,拿到電腦的第一步就是開機設置密碼,所以從賬戶安全開始。賬戶安全常見的風險包括共享賬戶、使用自動保存密碼、設置弱密碼或空口令。所以該部分的安全規范為禁止賬戶共享、慎用自動保存(我司不強制,只做提醒,所以用慎用)及密碼安全(8位:大小寫字母+數字+特殊字符)三部分。
2. 軟件安全
領取電腦后,開始安裝軟件,故第二部分為軟件安全。軟件安全常見的風險包括下載未知軟件、不安裝殺毒軟件、私自安裝商業軟件。所以該部分的安全規范為禁止在互聯網下載軟件,可以在公司的軟件庫(我司維護有軟件庫,常用的辦公軟件都有,經過安全檢測無毒無彈窗)下載,如果沒有軟件庫可建議到官方下載,需安裝殺毒軟件(公司統一殺毒軟件或其他推薦殺毒軟件均可),預防病毒,禁止私自安裝商業軟件,會帶來法律訴訟風險,如需安裝需上報IT部進行申請。
3. 郵件安全
收發郵件是日常工作必不可少的部分,伴隨的安全風險也不可忽視。如誤發郵件、錯發郵件導致的信息泄露、敏感資料不加密或加密的密碼直接放在郵件中、收到釣魚郵件或垃圾郵件等。該部分的安全規范為仔細核對收件人、抄送人和郵件內容,規避誤發、錯發導致的信息泄露、敏感資料加密發送,禁止直接粘貼到郵件正文,收到釣魚、垃圾郵件要上報。
4. 社交安全
現在的工作生活均離不開社交軟件和工具,微信、抖音、微博、QQ等。社交安全其實主要有二大點要注意,其一是收到的信息要仔細分辨(如騙子冒用同事信息騙取公司資料、離職員工索要公司資料),其二是發出去的信息要謹慎(不能發反黨、反政府、色情暴力等敏感言論,不能通過社交軟件發送公司敏感信息、不能在朋友圈發送工作信息)。
5. 個人隱私
個人隱私部分跟每個人都息息相關,該部分的風險在于日常工作中的一些不良習慣,如快遞單直接丟、街頭調研填寫真實信息、***復印件不添加簽注等。該部分的規范為,養成安全小習慣,快遞單撕毀后或用馬克筆涂掉個人信息(姓名、電話、住址)后在丟棄,街頭或網絡調研,盡量不要填寫個人真實信息,因為你不知道這些信息會被怎么處理,會不會發給黑中介導致電信詐騙?***復印件一定要加簽注,如下圖所示。***不添加簽注被盜用的風險極高,如去辦理網絡貸款等。
6. 辦公安全
辦公安全是指日常工作中的規范要求,如離開工位要鎖屏、打印文件及時取、會議信息要擦除、敏感文件使用碎紙機、公司信息禁止上傳到百度文庫、百度網盤、Github等。
7. 電信詐騙
電信詐騙是一個較復雜、多維度的事件,可以放在安全意識培訓中,也可以不放。為幫大家更好的分類匯總,這里也同步介紹。電信詐騙的套路都是一致的,如下圖:
對于電信詐騙的防護,接到陌生電話如果涉及洗錢、轉賬、公檢法相關的直接掛掉就好,不要糾纏也不要想著反套路,術業有專攻。多關注媒體、公安部門通報的案情,增長防騙知識,如接到詐騙電話最好反饋給行政,進行內部信息共享,規避其他同事上當。
四、案例篇
本部分主要是對案例進行剖析,選擇一些有代表性的案例,讓大家結合前面學到的知識去分析,案例是如何發生的?怎樣可以規避。借助案例讓學員回顧前面的內容,與學員增加互動,并應用到案例中。
圖中案例為某公司的攝像頭被入侵,入侵成功的關心因素是監控后臺資料,包括監控系統的地址、部署方式被上傳到百度文庫(辦公安安全)、使用弱密碼admin88(賬戶安全)。
最后就是致謝和答疑,也是檢驗你培訓效果的時刻。如果很多人跟你溝通,反饋問題,基本上你的培訓比較成功,學員認真聽了課程并開始反思。如果沒有人和你溝通,課程結束后就散開或趴下睡覺,那估計效果并不好,因為學員沒有觸動。當然也不絕對,安全都是相對的,何況是安全意識培訓。祝每位安全從業者的每次培訓,都能讓安全建設的基石更牢固!
