亚洲步兵一区二区三区,97视频精品久久观看,国产巨作在线无遮挡,亚洲AV无码不卡私人影院

提高全員安全意識的6個方向

2019年05月05日

很多企業(yè)安全部門可能因為將預(yù)算和資源都投入到軟/硬件安全解決方案的采購與部署，側(cè)重技防，而選擇性忽略或者根本沒有更多預(yù)算投入人防。實際上人防與技防處于同等重要的位置，基于技術(shù)的解決方案能夠覆蓋的領(lǐng)域是有限的，即使企業(yè)花了很多錢來構(gòu)建安全防線，有時候一個來自內(nèi)部人員的小錯誤就可能將企業(yè)置于岌岌可危的境地。

從攻擊端來看，攻擊者越來越重視終端用戶的行為心理研究，不斷通過各種方法繞過企業(yè)的安全防御策略來達到目的，水坑式攻擊和魚叉式釣魚攻擊是兩種典型的方式。

要建好“人民防線”，離不開良好的人員操作機制和安全意識提升計劃。通過制定周密的安全意識提升項目，員工能夠主動擔(dān)負起責(zé)任，更好地保護企業(yè)數(shù)字資產(chǎn)和識產(chǎn)權(quán)。此外，從更高的角度來看，員工還能將所學(xué)的安全知識延伸到個人生活中，使得更多的家庭受益。

2016年，Gartner曾發(fā)布了一篇安全指南，提出了一些幫助中小型企業(yè)在預(yù)算十分緊張的情況下提升員工安全意識的建議。三年過去了，網(wǎng)絡(luò)空間的形態(tài)發(fā)生了很多變化，因此Gartner的安全專家重寫了這篇指南，提出了幾種簡單可行、立竿見影的方法，仍堅持“調(diào)動最少的資源”這一原則。

方法一、簡單明了的消息通知

(1) 內(nèi)網(wǎng)橫幅

采用網(wǎng)絡(luò)廣告的思路在企業(yè)內(nèi)部網(wǎng)頁頂端添加橫幅，推進安全意識的樹立和安全消息的傳達能力。

(2) 登錄消息

諸如Microsoft Word和Unix等應(yīng)用和操作系統(tǒng)為管理員提供了系統(tǒng)登錄時發(fā)送消息的通道。管理員可以自定義消息推送以提醒用戶要遵守哪些安全要求、推送最新的安全提示或傳輸任何可以強化安全能力的消息。不過要注意信息要保持簡短且不要經(jīng)常發(fā)送，如果信息很復(fù)雜或者持續(xù)推送會降低它對用戶產(chǎn)生的印象，并且在部分國家和地區(qū)可能存在違反法律規(guī)定的風(fēng)險。

(3) “阻止的站點”頁面

限制員工訪問各類網(wǎng)站(包括社交媒體、搜索、購物等正規(guī)網(wǎng)站)或阻止訪問被視為有風(fēng)險的網(wǎng)站是一種企業(yè)內(nèi)部常見的安全策略。不過要注意不要只使用Web屏蔽服務(wù)供應(yīng)商提供的默認“阻止的站點”頁面，只寫一句“違反企業(yè)安全策略”。最好在頁面上為被阻止的網(wǎng)站創(chuàng)建自定義消息，告知用戶不能訪問該網(wǎng)站的原因。用好“阻止的站點”，為員工提供額外內(nèi)容供他們閱讀或查看以及相關(guān)聯(lián)系人的信息，這樣可以創(chuàng)造一個很好的主動學(xué)習(xí)機會。

方法二、各種類型的會議

(1) 遠程培訓(xùn)

如果企業(yè)規(guī)模比較大，將所有員工集中到一起進行培訓(xùn)不方便，可以開展在線視頻培訓(xùn)，員工無需離開辦公桌即可參與，一般適用于分享安全提示、進行問答等簡單的安全培訓(xùn)活動。

(2) 與安全主管共進午餐

與安全管理人員一起舉辦午餐會是向特定受眾傳達關(guān)鍵信息的簡單且有效的方式，從另外一個層面看，真人討論也能提升員工的參與度。

(3) 行業(yè)專家現(xiàn)場培訓(xùn)

邀請外部行業(yè)專家(如執(zhí)法部門或?qū)I(yè)公司)進行現(xiàn)場演示，為觀眾提供與安全行業(yè)領(lǐng)袖和從業(yè)者互動的機會。邀請的行業(yè)專家可以通過講故事分享真實的信息和經(jīng)驗，讓整體內(nèi)容更加有趣，更能吸引觀眾。

方法三、增加安全專家的出鏡率

(1) 拍攝短視頻

企業(yè)內(nèi)部安全專家可以嘗試拍攝一些針對特定主題來拍攝一些小視頻，每次講解一個問題并提供解決方法，清晰、有意識地傳達消息，拉動員工與企業(yè)內(nèi)部安全人員的距離。增強安全專家的出鏡率有助于提升員工對專家的熟悉度，從而增加視頻的點擊率和未來線下會議的參與率。這些視頻可以存放在內(nèi)網(wǎng)主頁的某個固定區(qū)域。

(2) 專門的溝通郵箱

企業(yè)可以在內(nèi)部設(shè)置一個專門用于安全問題的郵箱，保持與員工的持續(xù)溝通渠道，提供必要的信息交流。該郵箱可用于解答安全問題或提供反饋。然后，郵箱的管理人員可以將問題與解答定時上傳至企業(yè)內(nèi)部的常見安全問題與解答頁面。這種方式不用與人面對面進行交流，是一種低投入的互動形式，對于部分員工可能更有吸引力。

(3) 布置安全專家的工位

可以將安全專家的工位布置得更加開放，增加飲食供應(yīng)和舒適的座椅等，從形式上鼓勵員工坐下來與安全專家聊一聊，在舒適的環(huán)境中員工會更愿意發(fā)言并提出一些關(guān)鍵問題。除了被動接受員工的咨詢外，也可以主動發(fā)送座談的邀請。

(4) 寫博客

寫博客是一種增加長期關(guān)注者的方式，還能鞏固安全專家在相關(guān)領(lǐng)域的權(quán)威性。寫博客是建議不要特別高瞻遠矚，最好的方式就是“保持真實”，要有故事，有細節(jié)，增加員工的代入感，有助于建立長期聯(lián)系，推進員工安全意識的培養(yǎng)。其次，博客篇幅不必很長，在講清事情的前提下越短越好。

方法四、讓員工多多參與

(1) 攝影比賽

企業(yè)可以通過一些并非很直接、接地氣的活動從側(cè)面推進員工安全意識的培養(yǎng)。比如舉辦攝影比賽，流程比較簡單，用戶體驗也很友好，能夠接觸和吸引各個部門的員工。攝影比賽可以圍繞安全主題設(shè)定比賽目標和規(guī)則，比如讓員工提供能夠表現(xiàn)安全的照片。讓企業(yè)高管參與可以大大提升活動的影響力，也可以表現(xiàn)高管對于安全的重視程度。此外，此類活動的宣傳力度要廣要大，除了群發(fā)電子郵件這種公共方式之外，還可以通過管理層通道在開例會時進行重點強調(diào)。當然，獎品的好壞也直接決定了活動能夠吸引到的人數(shù)和質(zhì)量。

(2) 安全小站

安全小站的形式可以是一個公共的展示和互動區(qū)域，可以提供部分經(jīng)過處理的數(shù)據(jù)圖表讓員工更直觀地看到安全態(tài)勢，如果能夠提供模擬安全攻防的互動項目或者小游戲那就更好了，比如在看到勒索軟件在電腦上肆虐時該如何進行適當?shù)难a救，高互動的形式能夠讓參與者更加投入來解決安全問題。

(3) 攻防競賽

根據(jù)企業(yè)的自身情況，可在嚴格限定范圍和手段的情況下開展一系列網(wǎng)絡(luò)攻防競賽。比如針對企業(yè)員工面臨的主要網(wǎng)絡(luò)風(fēng)險——釣魚郵件，開展競賽。比賽可分為攻擊者和防御者，攻擊者對防御者進行網(wǎng)絡(luò)釣魚攻擊，而防御者則要在處理海量的郵件是避免踩坑，成功次數(shù)最多的攻擊者和踩坑最少的防御者均能獲得企業(yè)的獎勵。要注意競賽的手段和分寸，明確與企業(yè)正常業(yè)務(wù)的邊界。

(4) 將安全延伸到私人時間

可以讓員工攜帶不再使用、準備丟棄的老舊設(shè)備到公司，由安全專家說明和指導(dǎo)如何抹去個人信息，消除丟棄或者轉(zhuǎn)賣時造成的安全風(fēng)險，以后在處理客戶或者企業(yè)的數(shù)據(jù)時也該采取相同的行動。

方法五、正面激勵

(1) 正面反饋員工的進步

當企業(yè)高級管理層看到員工在保障企業(yè)安全時做出的努力和成果時，可以通過頒發(fā)獎狀、留下手寫消息卡片、通過電子郵件發(fā)送感謝信、提供禮品卡來獎勵這些員工，感謝他們的安全行為，加強員工在企業(yè)安全建設(shè)過程中的主觀能動性。

(2) 建立積分規(guī)則

建立積分規(guī)則的目的是推行長期的獎勵計劃，該計劃向員工授予可用于在企業(yè)內(nèi)部商店或者外部供應(yīng)商處購買商品的積分。這種持續(xù)的獎勵系統(tǒng)能夠不斷激勵員工，構(gòu)建長期的安全意識，表達對員工感謝。

(3) 給與虛擬的勛章

如果企業(yè)的內(nèi)部通信或者協(xié)作軟件支持虛擬勛章或者自定義頭像的話，可以給與積極參與企業(yè)安全建設(shè)的員工開通虛擬安全勛章。雖然這種形式并不能給員工帶來任何實際的獎勵，但是可以推動安全意識的發(fā)展。

(4) 與CEO共進午餐

員工與CEO或其他高級管理人員面對面相處的時間可能很少。企業(yè)可向員工提供與CEO或平時比較少見的管理層人員共進午餐的機會，以表明高層對于安全建設(shè)的重視?？梢酝瑫r邀請數(shù)名員工共進午餐，不設(shè)置任何正式議程，員工可以提出問題并了解企業(yè)領(lǐng)導(dǎo)和其他情況。

(5) 提拔做得好的員工

業(yè)務(wù)負責(zé)人可以將在企業(yè)安全建設(shè)中表現(xiàn)好的員工提拔至安全運營領(lǐng)導(dǎo)者的角色，賦予業(yè)務(wù)流程中的更多的安全話語權(quán)并加強其領(lǐng)導(dǎo)力。企業(yè)可以將這一環(huán)節(jié)添加到KPI考核機制中的加分部分，在晉升評定中給與看得見的積極反饋，并在企業(yè)內(nèi)部通報結(jié)果，為員工參與安全建設(shè)添加更多動力。

方法六、保持頭腦清醒

(1) 安全日歷

通過電子郵件、海報、內(nèi)網(wǎng)消息或上文中提到的內(nèi)網(wǎng)橫幅等渠道定期推送的簡短安全提示，通知目前流行的安全威脅和公司可能面臨安全事件。并與公司內(nèi)部的數(shù)字營銷團隊合作，通過點擊率了解數(shù)字流量和員工的關(guān)注度。

(2) 梳理談話要點

安全專家可以為管理人員一份備注清單，用于在團隊會議中加強安全信息內(nèi)容部分。安全建設(shè)的核心內(nèi)容應(yīng)當保持一致，但每位團隊管理者都可以根據(jù)各自團隊文化進行自定義。

(3) 假想練習(xí)

團隊領(lǐng)導(dǎo)可以在內(nèi)部會議期間提出一些安全威脅的假象情況，讓大家一起討論。通過傾聽對話，團隊領(lǐng)導(dǎo)可以判斷團隊是否理解他們在保護企業(yè)安全方面的責(zé)任，并且可以在他們識別問題時提供額外的幫助和培訓(xùn)。這種方法也是促進合作思維的好途徑，使得員工在安全的群體環(huán)境中表達想法和落實行動。

江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)、動漫設(shè)計、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案，業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。

江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。