让员工认可安全政策(第1页)
过去,企业的IT安全专员只需发送一个“不要点击链接”的传阅邮件就能完成任务,现在这样的日子已经一去不复返了。他们必须走过一条跨越许多领域的“钢丝”,从IT到各种商业需要,再到人的管理,而最后这一点常被忽略。
思科的行为心理学家兼高级安全顾问伯吉斯(Chris Burgess)说:“IT不能离开人,但在IT经理和其客户(或者用户)之间经常会出现一条鸿沟。”这条鸿沟是许多冲突的根源,因为它的存在阻碍了双方之间的有效沟通,甚至还可能造成关系的疏远。
The Security Company的创始人兼董事会主席史密斯(Martin Smith)表达了与伯吉斯相同的观点:“不管你在公司上马的是一个多么了不起的安全系统,如果没人知道怎么用它,它就会出问题。这完全是人的因素在起作用。不幸的是,我见过的大多数IT安全官都没明白这个道理。安全培训不能只教点击对话框,还要让员工理解常见的规则,以及为什么要有这些规则。你必须把这变成员工日常生活的一部分,他们才能对你教的东西产生共鸣。”
让员工对传达的政策感同身受显然是关键。和来自权威的其他命令一样,如果人们工作与生活的现实与政策要求的不一样,政策就会被忽略。
伯吉斯补充说,“你必须把各业务单位纳入安全政策中,否则,就有阻碍这些单位与安全政策合作的危险。例如,一名销售人员在为客户做演示时发现杀毒软件将在10分钟后开始扫描,机器将不能使用,这时你是宁愿他们拒绝扫描,还是关掉视频呢?”
史密斯相信,最实用的方法就是在传达安全政策时提供一个现实生活的类比。例如,他推荐在推广密码安全政策时鼓励用户把密码看作前门钥匙。“这样,人们就能对你告诉他们的事情产生共鸣,”史密斯说,“单纯只是说‘别把密码写在纸上’没什么用。但是让员工把密码与门钥匙这样的日常物品做类比,就会促使他们小心行事,并且令他们印象深刻。我常叫人把密码想象成牙膏—不能与别人分享,并且要放在安全的地方。”
解决沟通的相关问题
伯吉斯认为,问题根源往往是沟通渠道,而不是内容。“只把安全政策的要点写在邮件里发送出去是远远不够的。你必须把它当成一项营销活动来做,即要推销你的政策,而不只是陈述。”但这就是问题所在,因为政策通常是由具体部门入口和发布的,营销部门很少插手。
伯吉斯还说,“安全政策在全球被统一入口,又在地方被实施。确保这些安全政策与本地文化的混合和共鸣是关键。”
“这不但与整个企业大范围的文化有关,还与小范围的内部文化有关,如会计部门或人力资源部门的文化就与维护部门或IT部门的文化不同。每个部门处理信息的方式不同,想以不变应万变在这个问题上是行不通的。”
在过去十年间,教育模式发生了根本变革。口头学习法或书面学习法曾一度受到青睐,而现在普遍认为最好的学习结构是多感官学习。这又分为视觉、听觉和肌肉运动知觉(即边做边学)的学习。尽管有些人会优先选择其中某一种,但大多数人是在混合使用这些技巧时获得最佳的学习效果。
许多优秀的成|人学习课程会提供各种样式的学习材料。那么,企业为什么不这样处理调查问卷或者员工手册?许多教授各类课程的培训中心正开始使用神经语言程序学(NLP)这样的最新技术,来实现快速有效的学习,因为这些技术能让学员更快地对培训材料做出回应。
伯吉斯也同意应更多地采用这些方法:“作为业内人士,我们需要想办法改进安全沟通。比如利用视频来告诉员工怎么样是正确行事,怎么样是做得不对。再比如提供正面的行为榜样,而不要像过去一样只说一句‘别那样做’。”
Information Security Awareness Forum的主席金博士(Dr. David King)认为技术在新秩序中确有用武之地:“你需要用技术为员工指引正确的方向,让接受过程不那么痛苦。
“记住,员工每天要在不同的领域扮演不同的角色,在家是终端用户,在工作岗位上又更倾向技术角色。企业必须确保他们能够不用搜索内部网上的海量文件,就能找到每个角色的相关信息。让员工为这种信息搜索准备时间是行不通的。”
当然,传达已确定的政策只是挑战的一部分。起草政策本身就会引起问题。美富律师事务所(Morrison & Foerster)欧洲公司的合伙人贝维特(Ann Bevitt)认为,很多IT部门在制定并推出适应于全公司范围的政策时很容易失去方向。“在贯彻和执行公司政策时,一定要避免区别对待,”她说,“定期更新政策也很重要,两年前出|台的政策也许现在就毫无用处了。但是总的来说,最关键的问题是对政策起草本身不熟悉。IT运营单位要在起草安全政策时尽早与HR合作,这一点也很重要。你要知道,没有适当的结构,出|台的政策就无法实施。”
认识HR的作用
国际信息系统安全认证联盟(ISC2)的执行董事科利(John Colley)也相信,HR可以在政策的起草过程中发挥关键作用。“HR专业人员在推动安全信息、政策和流程中能发挥枢纽作用,”他说,“这很重要,因为员工每个小时都面临着各种能影响组织数据或其客|户|数|据安全性的决定。”
史密斯也同意这个意见。他常问大型组织:你们公司有多少员工从事安全工作?“我提这个问题时,绝大多数首席信息安全官(CISO)就开始报出他们部门的员工人数,然后加上公司的保安人数等等。这是错误的—全体员工都应成为企业安全系统的一部分。他们只要稍微改变一下行为习惯,比如出去喝茶时锁上办公室的门,或者(有礼貌地)验明没有明显身份通行证的人的身份,就能极大地提高组织安全程度,同时又不会造成大量成本。”
显然,沟通是问题的关键点。这不算什么新话题了,但是仍然没有得到应有的关注。尽管企业越来越重视有深度、有针对性的培训,但许多IT安全人士还是没能够很好地利用手头的资源。
不论大小,各种公司都能利用有效沟通的概念,只花费很少的成本购买一个入侵监测系统(IDS),就能提高公司安全性。要聪明地想问题,就从现在开始。
依赖员工
巴克莱集团(Barclays)的例子颇具启发性。作为一家国际知名的主要金融服务提供商,巴克莱从事零售和商业银行业务、信|用|卡、投资银行业务、财富管理和投资管理服务。遍及50个国家的15万员工为世界各地的4,200万个人和公司客户提供金融信息处理服务。
巴克莱的集团保密项目总监帕金(Julian Parkin)说:“我们管理大量的信息,所以必须负责任地处理这些信息。不能以为加密等技术就能彻底解决问题。我们需要切实可行的政策以及流程。”
巴克莱决定启动一个整合的内部活动,利用各种数字和传统媒体来提高集团内的保密意识。“我们举办了一个招标会,来了三家机构,”帕金说,“最后决定选择Blue Goose公司,因为它在多种媒体方面都有经验。”
Blue Goose为巴克莱入口的活动名叫Th!nk Privacy,意在激发员工思考数据保密和隐私的问题。他们在电梯里派发行李标签,在入口和出口处贴上便条贴,以培养和加强员工的安全意识。
“这个活动就是在人们行动的时候当场提醒‘想想你正带着什么’。许多人同意把数据留在火车上不对,但我们需要在他们这样做之前就提醒他们,”帕金说,“我们渴望让人们对这里的危险提高警惕,但不能过分强调,以致导致他们彻底切断与数据的联系。”
内部安全员工承担了笔记本电脑的大清扫工作,他们会在没收电脑之后留下一个类似停车罚单的通知。同时分发了一系列“环境媒体”,如印有活动标识的杯子等,他们还建立了一个内部微型网站。这个活动在两个业务单位启动,涉及的员工约一万人。而那个微型网站的浏览人数也不错,支持呼声很高。
另外,公司还委托制作了一系列电影短片,强调信息风险管理的五个关键步骤。巴克莱的信息风险管理副总监罗格斯顿(Mark Logsdon)说:“公司的信息风险政策有点过时了,要更新。我们先确定企业内的五大重要行为,如适当利用技术、管理密码和报告突发事件,然后把这些行为告诉一个名叫Twist and hout的制作公司。我们想做成轻松一点的办公室风格短片,每个短片又有各自独立的意义,不但能够一传十十传百地在公司内部传播,还能够用作其他用途,如培训。”
这些培养安全意识的项目都注重对结果的追踪。为达到此目的,巴克莱的团队正在准备建设一套指标,用以评估员工对安全和保密问题的理解程度。评估影响范围、理解程度及对行动的影响(如对突发事件的报告和应对)是关键。公司投资银行业务线的全球信息风险管理总监邦纳(Stephen Bonner)说:“我们现在的最终目标是建立一个指标仪表盘,但评估来自各类来源的各种数据将会花费一些时间,而且这还是个学习的过程。因为指标是这个企业里最被忽略的东西。”
原文由 Haymarket Management Publications Limited登记版权。姜晓珊译。
本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。
江南官网资讯
brand information
- vi入口
- logo入口
- 海报入口
- 导视系统
- 包装入口
- 企业宣传片
- 公关策划
- 网站入口
- 动漫主题资源
- 官网策划
- 产品营销
- 互动行销
- 创意入口
- si空间
- 餐饮官网
- 官网命名
- 官网定位
- 官网诊断
- 官网建设
- 官网百科
- 入口前沿
- 时尚热点
- 江南动态
- B2B官网战略
相关案例
Related cases
潍坊餐饮官网全案策划|烧烤官网全案入口|老字号烧烤店-山东谭氏烧烤官网全案策划
- 2021/10/23隐形眼镜官网全案策划,官网战略表现,超级符号,超级话语,话语体系规划入口...
- 2021/10/20教育官网全案策划-北京金峰练字官网形象入口升级策划上海...
- 2021/10/20餐饮官网官网升级:掘金连锁餐饮行业策划,官网入口战略伊秀日本料理...
- 2021/10/13连锁餐饮行业官网营销策划-连锁餐饮企业官网入口-熊觅花样好食社区店...
- 2021/09/09儿童教育培训官网策划-官网全案策划入口_教育官网策划全案升级...
- 2021/08/03亢敏君功能性食品官网策划营销快消官网全案策划升级-超级符号-话语体系构建!...
- 2021/07/22嘻嘻未来绘教育官网策划入口,打造体验式儿童场景教育新标杆...
- 2021/07/05嫥妍美容仪器官网定位包装全案策划 美容棒化妆品行业官网全案入口...
- 2021/06/04高端男装官网全案策划|梵一集polo衫 T恤衫男装战略定位官网落地...
江南体育最新APP链接下载相关的文章
Related articles
上海官网建设策略公司--以官网开拓市场
- 2020/10/18企业文化建设分哪几个阶段?做企业文化策划的公司...
- 2020/10/18企业文化建设内容主要包括...
- 2020/10/02企业文化策划-企业文化背后的故事...
- 2020/10/02企业文化整合的原则-如何进行企业文化策划:重任、企业愿景和价值观念...
- 2020/09/30企业文化策划原则-企业文化策划的几大要素...
- 2020/08/19智慧城市战略定位规划正在实施进行...
- 2019/12/19商业官网建设有利于国家经济发展...
- 2019/07/17战略规划咨询帮助官网找准自身使命...
- 2019/06/28公司发展战略方针有哪些?如何确定公司发展战略?...
官网咨询
细分市场行业标识
打造全新的官网视觉形象
最新案例推荐
Related cases
最新资讯推荐
related information
餐饮官网VI入口选择什么样的公司比较合适?
- 2022/02/14上海官网全案策划营销是否会比较重要?...
- 2022/02/14上海企业官网入口怎么合理制定目标...
- 2022/02/12高端化妆护肤品包装入口官网定位方面的特点...
- 2022/02/12生鲜超市官网全案提升商家实力...
- 2022/02/11上海官网包装入口要了解到哪些问题?...
- 2022/02/11上海官网VI入口怎么收取费用...
- 2022/02/07上海企业logo入口应该要达到哪些要求?...
- 2022/02/07上海官网VI入口为什么是不能忽视的问题...
- 2022/02/06上海保健品体育策划公司|保健食品体育入口|保健食品营销策划公司...
圣何塞combai城市市场VI入口
- 2017/05/06质疑“国窖1573”的体育创意 - |质疑|国窖1573|体育|创意|...
- 2015/11/21上海企业logo入口为什么能够受到大家喜欢...
- 2019/01/04官网视觉入口公司入口要点主要有哪些...
- 2017/04/21宣传册入口应该具备的五个基本特点是什么...
- 2021/02/07官网建设策略--提升产品的市场形象...
- 2017/05/06妇科千金片的体育创意 - |妇科千金片|体育|创意|...
- 2015/11/12中小企业网站入口公司的入口步骤...
- 2019/12/23官网包装定位策略主要方法有几种...
- 2015/12/04宣传体育入口构成三要素...
知名官网logo入口给官网带来的附加价值
- 2019/05/13大家最关心商标logo入口价格哪些方面的问题...
- 2015/10/27产品包装入口公司应体现哪些入口要素...
- 2020/05/21南京政府企业标志入口-创新入口-彰显企业特色...
- 2020/11/06博物馆入口展厅入口理念不同,传达出来的意义也不一样...
- 2019/05/12杭州亚运会吉祥物入口&亚残会吉祥物入口方案火爆征集中~...
- 2018/11/28自有官网包装入口的项目费用...
- 2020/03/19化妆官网logo入口要考虑企业发展和市场竞争...
- 2019/11/23企业官网策划方案怎么才会做好?...
- 2020/11/22拉萨官网入口和logo入口存在哪些不同点和相同点...