×

微信扫一扫,快捷登录!

安全意识规划CSO必备九大技巧  

标签: 暂无标签
安全意识培养的尴尬在于:容易流于形式,很难评估效果。但安全意识对于企业又至关重要,做一套行之有效的安全意识培养规划是很多CSO可遇而不可求的,今天的文章重点分享安全意识培养的技巧,角度新颖、方法创新,可操作性强,异于形而上的传统思维,是CSO必读之宝典。
  
  一、确定衡量指标
  "安全工作中最关键的要素之一在于如何衡量自己的努力是否取得了成功。衡量这一目标的惟一方式就是收集先前信息,摸清状况,根据当下背景开展新的安全意识培养工作。"安全意识规划服务公司Scure Mentem的负责人Ira Winkler与Samantha Manke这样表示。

  在该公司最近发表题为成功安全意识规划的七大元素一文中提到:安全工作是否成功主要取决于组织成员的态度。

  其具体内容还包网络钓鱼模拟工具的使用,以及安全意识培训课程等。大家也可以检查与安全相关的事故数量,例如员工曾经多少次尝试访问违禁网站。

  二、换个角度看安全意识测试结果

  "当人们讨论意识问题时,他们往往只专注于预防他们试图通过人力防火墙('human firewall)的概念保障自身安全,"SANS协会人力规划保护培训主管兼安全意识五大误区作者Lance Spitzner指出。"尽管预防确实非常重要,但为什么要把眼光局限在这里呢?为什么不把员工从人力防火墙培养成人力传感器(human sensors as well)"

  Spitzner建议大家通过培训帮助员工了解违规事件的衡量指标,从而使他们具备报告潜在事故的能力。"举例来说,如果企业正在进行内部钓鱼测试,那么所关注的结果不该只是有多少员工被成功引入陷阱,更要留心有多少员工敏锐地发现了问题并报告这一攻击活动。想象一下,如果这样的能力普及开来,我们的企业将具备多么强大的自我保护能力,"他解释道。
  三、允许员工在一定程度上打破规则

  打破规则往往能够提高企业内部安全意识,Security Catalyst公司的Michael Santarcangelo认为。

  为了让这一切真正起到预期效果,Santarcangelo建议大家按以下步骤进行操作:ITSS

  1,选择"正确"的规则予以打破:挑选那些不太可能造成真正危害但又有助于员工理解自身行为后果的规则。

  2,将此定性为特殊事件(而非常规事件):当出现员工违规操作时,提醒员工企业尊重他们,因此不会就该事件对其进行惩罚,但同时提醒他们这件事造成了一定影响(包括一部分组织影响)。

  3,采用组织对话而非讲座方式从员工的实际经历中总结经验,进行借鉴,用实际事例帮助员工更好地理解企业安全规则制定的目的。
  
  四、创新安全意识规划方案

  "在过去,大多数安全意识规划都没能真正改变员工们的行为方式,"Spitzner表示。"这主要是因为过去的大部分规划从设计思路上就没打算改变员工们的行为方式。这类规划的惟一目标就是符合合规性审查的要求,从而在考核表上多得到几个对勾,造成安全意识规划上的低投资回报率。"

  "这些直白、单调而又不成规模的老式安全意识规划让人提不起兴趣。总会有某位讲师每年出现在员工面前带着自己的PPT喋喋不休地陈述理论,又或者以季度为周期向员工发送安全意识信息,"Spitzner补充道。对于新型安全意识规划来说,有效改变员工行为方式才是主要目标 ,Spitzner认为企业需要创建一套能够从根本上带动员工积极性的新型规划。

  五、获得高管团队的支持

  根据Winkler与Manke的观点,拥有高管团队鼎力支持的安全意识规划往往更容易成功。

  "这种支持将会为安全规划带来更多自由空间、更充裕的预算以及来自其它部门的配合,"他们指出:"任何负责管理安全意识规划的人员都应该把获取一把手的支持放在工作的首位,这比什么都重要。"

  六、赢得关键部门相助

  Winkler与Manke还建议企业打造出一套跨部门的宣传方案,"拉拢"关键部门,像法律部、合规部、人力资源部、市场营销部、安全部等都是"拉拢"的对象。这些部门通常与安全意识规划息息相关,而且还有能力带来额外的如资金等方面的贡献。并且,他们的配合会令安全意识规划执行力更强。

  七、创新安全模拟体系参与形式

  Winkler和Manke认为 ,创造力也是安全意识规划当中不可或缺的重要组成部分。

  "安全意识规划部门应当设置一套立体模拟体系,并在主要测试范围中布置十项常见安全违规行为,规定能够顺利识别出这十种安全违规情况的员工有权进入"抽奖"环节。

  八、定期检验和调整规划方案

  Winkler与Manke指,尽管大部分安全意识规划方案都采取一年周期,但它们也会尝试以每月一个话题的形式将工作加以分解。他们的建议是制定九十天规划即每三个月对规划方案与目标完成情况进行评估。

  "最成功的规划方案能够同时关注三大主题,且以九十天为周期进行调整。换言之,每过九十天,管理人员就会对规划方案进行反思、考虑下一步需要解决的是哪些课题。"

  九、尝试多种宣传渠道

  对于不同的员工来说,我们无法利用单一方案满足每个人的需求,"最为成功的规划方案不仅创新能力强,而且还采用多种形式的宣传手段,"Winkler与Manke告诉我们。"其中包括资讯点评、宣传海报、趣味游戏、新闻推送、博客讨论以及钓鱼模拟等等。总而言之,员工们的参与程度越高我们的安全意识规划方案就越容易取得成功。"
  












上一篇:信息安全管理ISO27001资产分类矩阵
下一篇:个人对信息安全管理策略的总结和感悟
萨达

写了 327 篇文章,拥有财富 1738,被 4 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
東東 发表于 2020-11-25 09:39:20

超赞的资料,学习中
Powered by IT 运维管理
返回顶部