江南体育最新APP链接下载

江南体育最新下载APP链接

400-021-0866

BRAND BUILDING

资讯官网建设

官网建设 Brand Construction 是指官网拥有者对官网进行的规划、入口、宣传、管理的行为和努力。
官网建设的利益表达者和主要组织者是官网拥有者(官网母体)。

所在位置:

首页> 官网建设> 正文

让员工认可安全政策(第1页)

时间:2016-10-08 09:55:47 来源:官网建设 阅读量: 作者:江南官网咨询

  过去,企业的IT安全专员只需发送一个“不要点击链接”的传阅邮件就能完成任务,现在这样的日子已经一去不复返了。他们必须走过一条跨越许多领域的“钢丝”,从IT到各种商业需要,再到人的管理,而最后这一点常被忽略。

  思科的行为心理学家兼高级安全顾问伯吉斯(Chris Burgess)说:“IT不能离开人,但在IT经理和其客户(或者用户)之间经常会出现一条鸿沟。”这条鸿沟是许多冲突的根源,因为它的存在阻碍了双方之间的有效沟通,甚至还可能造成关系的疏远。

  The Security Company的创始人兼董事会主席史密斯(Martin Smith)表达了与伯吉斯相同的观点:“不管你在公司上马的是一个多么了不起的安全系统,如果没人知道怎么用它,它就会出问题。这完全是人的因素在起作用。不幸的是,我见过的大多数IT安全官都没明白这个道理。安全培训不能只教点击对话框,还要让员工理解常见的规则,以及为什么要有这些规则。你必须把这变成员工日常生活的一部分,他们才能对你教的东西产生共鸣。”

  让员工对传达的政策感同身受显然是关键。和来自权威的其他命令一样,如果人们工作与生活的现实与政策要求的不一样,政策就会被忽略。

  伯吉斯补充说,“你必须把各业务单位纳入安全政策中,否则,就有阻碍这些单位与安全政策合作的危险。例如,一名销售人员在为客户做演示时发现杀毒软件将在10分钟后开始扫描,机器将不能使用,这时你是宁愿他们拒绝扫描,还是关掉视频呢?”

  史密斯相信,最实用的方法就是在传达安全政策时提供一个现实生活的类比。例如,他推荐在推广密码安全政策时鼓励用户把密码看作前门钥匙。“这样,人们就能对你告诉他们的事情产生共鸣,”史密斯说,“单纯只是说‘别把密码写在纸上’没什么用。但是让员工把密码与门钥匙这样的日常物品做类比,就会促使他们小心行事,并且令他们印象深刻。我常叫人把密码想象成牙膏—不能与别人分享,并且要放在安全的地方。”

  解决沟通的相关问题

  伯吉斯认为,问题根源往往是沟通渠道,而不是内容。“只把安全政策的要点写在邮件里发送出去是远远不够的。你必须把它当成一项营销活动来做,即要推销你的政策,而不只是陈述。”但这就是问题所在,因为政策通常是由具体部门入口和发布的,营销部门很少插手。

  伯吉斯还说,“安全政策在全球被统一入口,又在地方被实施。确保这些安全政策与本地文化的混合和共鸣是关键。”

  “这不但与整个企业大范围的文化有关,还与小范围的内部文化有关,如会计部门或人力资源部门的文化就与维护部门或IT部门的文化不同。每个部门处理信息的方式不同,想以不变应万变在这个问题上是行不通的。”

  在过去十年间,教育模式发生了根本变革。口头学习法或书面学习法曾一度受到青睐,而现在普遍认为最好的学习结构是多感官学习。这又分为视觉、听觉和肌肉运动知觉(即边做边学)的学习。尽管有些人会优先选择其中某一种,但大多数人是在混合使用这些技巧时获得最佳的学习效果。

  许多优秀的成|人学习课程会提供各种样式的学习材料。那么,企业为什么不这样处理调查问卷或者员工手册?许多教授各类课程的培训中心正开始使用神经语言程序学(NLP)这样的最新技术,来实现快速有效的学习,因为这些技术能让学员更快地对培训材料做出回应。

  伯吉斯也同意应更多地采用这些方法:“作为业内人士,我们需要想办法改进安全沟通。比如利用视频来告诉员工怎么样是正确行事,怎么样是做得不对。再比如提供正面的行为榜样,而不要像过去一样只说一句‘别那样做’。”

  Information Security Awareness Forum的主席金博士(Dr. David King)认为技术在新秩序中确有用武之地:“你需要用技术为员工指引正确的方向,让接受过程不那么痛苦。

   “记住,员工每天要在不同的领域扮演不同的角色,在家是终端用户,在工作岗位上又更倾向技术角色。企业必须确保他们能够不用搜索内部网上的海量文件,就能找到每个角色的相关信息。让员工为这种信息搜索准备时间是行不通的。”

  当然,传达已确定的政策只是挑战的一部分。起草政策本身就会引起问题。美富律师事务所(Morrison & Foerster)欧洲公司的合伙人贝维特(Ann Bevitt)认为,很多IT部门在制定并推出适应于全公司范围的政策时很容易失去方向。“在贯彻和执行公司政策时,一定要避免区别对待,”她说,“定期更新政策也很重要,两年前出|台的政策也许现在就毫无用处了。但是总的来说,最关键的问题是对政策起草本身不熟悉。IT运营单位要在起草安全政策时尽早与HR合作,这一点也很重要。你要知道,没有适当的结构,出|台的政策就无法实施。”

  认识HR的作用

  国际信息系统安全认证联盟(ISC2)的执行董事科利(John Colley)也相信,HR可以在政策的起草过程中发挥关键作用。“HR专业人员在推动安全信息、政策和流程中能发挥枢纽作用,”他说,“这很重要,因为员工每个小时都面临着各种能影响组织数据或其客|户|数|据安全性的决定。”

  史密斯也同意这个意见。他常问大型组织:你们公司有多少员工从事安全工作?“我提这个问题时,绝大多数首席信息安全官(CISO)就开始报出他们部门的员工人数,然后加上公司的保安人数等等。这是错误的—全体员工都应成为企业安全系统的一部分。他们只要稍微改变一下行为习惯,比如出去喝茶时锁上办公室的门,或者(有礼貌地)验明没有明显身份通行证的人的身份,就能极大地提高组织安全程度,同时又不会造成大量成本。”

  显然,沟通是问题的关键点。这不算什么新话题了,但是仍然没有得到应有的关注。尽管企业越来越重视有深度、有针对性的培训,但许多IT安全人士还是没能够很好地利用手头的资源。

  不论大小,各种公司都能利用有效沟通的概念,只花费很少的成本购买一个入侵监测系统(IDS),就能提高公司安全性。要聪明地想问题,就从现在开始。

  依赖员工

  巴克莱集团(Barclays)的例子颇具启发性。作为一家国际知名的主要金融服务提供商,巴克莱从事零售和商业银行业务、信|用|卡、投资银行业务、财富管理和投资管理服务。遍及50个国家的15万员工为世界各地的4,200万个人和公司客户提供金融信息处理服务。

  巴克莱的集团保密项目总监帕金(Julian Parkin)说:“我们管理大量的信息,所以必须负责任地处理这些信息。不能以为加密等技术就能彻底解决问题。我们需要切实可行的政策以及流程。”

  巴克莱决定启动一个整合的内部活动,利用各种数字和传统媒体来提高集团内的保密意识。“我们举办了一个招标会,来了三家机构,”帕金说,“最后决定选择Blue Goose公司,因为它在多种媒体方面都有经验。”

  Blue Goose为巴克莱入口的活动名叫Th!nk Privacy,意在激发员工思考数据保密和隐私的问题。他们在电梯里派发行李标签,在入口和出口处贴上便条贴,以培养和加强员工的安全意识。

  “这个活动就是在人们行动的时候当场提醒‘想想你正带着什么’。许多人同意把数据留在火车上不对,但我们需要在他们这样做之前就提醒他们,”帕金说,“我们渴望让人们对这里的危险提高警惕,但不能过分强调,以致导致他们彻底切断与数据的联系。”

  内部安全员工承担了笔记本电脑的大清扫工作,他们会在没收电脑之后留下一个类似停车罚单的通知。同时分发了一系列“环境媒体”,如印有活动标识的杯子等,他们还建立了一个内部微型网站。这个活动在两个业务单位启动,涉及的员工约一万人。而那个微型网站的浏览人数也不错,支持呼声很高。

  另外,公司还委托制作了一系列电影短片,强调信息风险管理的五个关键步骤。巴克莱的信息风险管理副总监罗格斯顿(Mark Logsdon)说:“公司的信息风险政策有点过时了,要更新。我们先确定企业内的五大重要行为,如适当利用技术、管理密码和报告突发事件,然后把这些行为告诉一个名叫Twist and hout的制作公司。我们想做成轻松一点的办公室风格短片,每个短片又有各自独立的意义,不但能够一传十十传百地在公司内部传播,还能够用作其他用途,如培训。”

  这些培养安全意识的项目都注重对结果的追踪。为达到此目的,巴克莱的团队正在准备建设一套指标,用以评估员工对安全和保密问题的理解程度。评估影响范围、理解程度及对行动的影响(如对突发事件的报告和应对)是关键。公司投资银行业务线的全球信息风险管理总监邦纳(Stephen Bonner)说:“我们现在的最终目标是建立一个指标仪表盘,但评估来自各类来源的各种数据将会花费一些时间,而且这还是个学习的过程。因为指标是这个企业里最被忽略的东西。”

  原文由 Haymarket Management Publications Limited登记版权。姜晓珊译。

  本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。

关键词: [db:关键词]|
分享:

江南官网资讯
brand information

相关案例
Related cases

潍坊餐饮官网全案策划|烧烤官网全案入口|老字号烧烤店-山东谭氏烧烤官网全案策划

江南体育最新APP链接下载相关的文章
Related articles

上海官网建设策略公司--以官网开拓市场

官网咨询

细分市场行业标识
打造全新的官网视觉形象

最新案例推荐
Related cases

最新资讯推荐
related information