他說(shuō),入職期間要處理的關(guān)鍵任務(wù)包括概述安全愿景、使命和核心價(jià)值觀,以及引導(dǎo)新員工了解安全戰(zhàn)略和路線(xiàn)圖。
其他首席信息安全官也贊同Beason的見(jiàn)解,并聲稱(chēng)讓新員工快速有效地加入企業(yè)的網(wǎng)絡(luò)安全計(jì)劃至關(guān)重要。
TalentLMS公司和Kenna Security公司的2021年報(bào)告指出需要關(guān)注這一領(lǐng)域。他們對(duì)1200名員工的網(wǎng)絡(luò)安全習(xí)慣、最佳實(shí)踐知識(shí)和識(shí)別安全威脅的能力進(jìn)行了調(diào)查,發(fā)現(xiàn)盡管69%的受訪者接受了雇主的網(wǎng)絡(luò)安全培訓(xùn),但61%的受訪者表示在這些主題的基本測(cè)試中失敗。
資深安全領(lǐng)導(dǎo)者表示,從員工入職的第一天開(kāi)始,就有辦法讓安全培訓(xùn)更有效。他們提供了七種關(guān)于如何使安全入職更有效的策略。
1.確保他們知道網(wǎng)絡(luò)安全是工作的一部分
新員工需要了解大量信息,因此他們?cè)谌肼氝^(guò)程中保留高度技術(shù)性數(shù)據(jù)或非常詳細(xì)流程的能力可能會(huì)受到限制。
SANS研究所安全意識(shí)和培訓(xùn)項(xiàng)目的技術(shù)總監(jiān)Lance Spitzner說(shuō),“當(dāng)新員工入職時(shí),有些人可能會(huì)不知所措,而他們有一份新工作、新技術(shù)、新老板。”
因此,Spitzner建議,與其一次性提供所有必要的網(wǎng)絡(luò)安全培訓(xùn),不如傳遞關(guān)鍵信息,也就是為員工在安全方面負(fù)有責(zé)任。
他說(shuō),“我們不希望這些人認(rèn)為,‘我們有防病毒軟件,有安全團(tuán)隊(duì),所以我們?cè)诎踩矫孀龊昧藴?zhǔn)備。”他指出,最有效的入職程序是設(shè)定期望和培養(yǎng)安全意識(shí)。他補(bǔ)充說(shuō),“他們確保新員工知道網(wǎng)絡(luò)安全是自己工作的一部分,這不僅僅是網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作,他們和其他人一樣對(duì)此負(fù)責(zé)。”
2.確保新員工知道如何安全地完成工作
鑒于新員工獲得的信息量巨大,資深的首席信息安全官表示,召開(kāi)有效的安全會(huì)議專(zhuān)門(mén)教會(huì)他們?nèi)绾伍_(kāi)始工作,并確保他們掌握了這些基本安全知識(shí)。
Protiviti公司安全和隱私實(shí)踐部的常務(wù)董事Andrew Retrum說(shuō),“我看到一些員工入職安全意識(shí)培訓(xùn)非?;\統(tǒng),當(dāng)他們結(jié)束培訓(xùn)時(shí),就會(huì)有一些指向特定公司政策的鏈接以及發(fā)生安全事件之后的聯(lián)系信息,以及指向安全的鏈接門(mén)戶(hù)網(wǎng)站。如果我是新員工的話(huà),這樣的培訓(xùn)并不是很有用,實(shí)際需要的是在幻燈片上提供安全工具的詳細(xì)信息。”
他表示,與其相反,入職培訓(xùn)應(yīng)該圍繞向新員工傳授具體的安全特征、功能和工具,以及企業(yè)關(guān)于安全電子郵件、正確分類(lèi)數(shù)據(jù)、與第三方安全交換受保護(hù)信息以及以安全方式處理其他典型任務(wù)的政策。
Retrum說(shuō),“這需要清楚地表達(dá)出來(lái),所以當(dāng)員工開(kāi)始他們的日常工作時(shí),他們知道如何安全地完成。”
3.讓員工參與
資深的首席信息安全官的另一條相關(guān)建議:不要空談,而是讓他們參與。
JAMS公司負(fù)責(zé)信息安全的副總裁兼首席信息安全官 Rich Lindberg說(shuō):“我們都要對(duì)安全負(fù)責(zé),也是安全成功的一部分。我們都必須在這方面共同努力。但接受這種理念歸根結(jié)底是向他們表明展示他們的重要性并建立聯(lián)系。”JAMS公司是一家提供替代爭(zhēng)議解決服務(wù)的企業(yè),也是美國(guó)信息管理學(xué)會(huì)(SCSIM)南加州分會(huì)的咨詢(xún)委員會(huì)成員。
為了建立融洽的關(guān)系,Lindber表示他或他的團(tuán)隊(duì)成員將會(huì)花費(fèi)時(shí)間與新員工進(jìn)行溝通。
他說(shuō),“我可以為他們提供信息簡(jiǎn)報(bào),或者讓他們遵守一些規(guī)則,但與其相反的是,我們可以為他們提供幫助,并在他們需要幫助時(shí)隨時(shí)聯(lián)系我們。我對(duì)待新員工就像對(duì)待客戶(hù)一樣,并確保提供高水平的服務(wù)。”
4.為員工量身定制入職培訓(xùn)
全球科技商Insight Enterprises公司副總裁兼首席信息安全官Jason Rader表示,針對(duì)新員工的大部分信息傳遞都是跨組織的標(biāo)準(zhǔn)信息,但首席信息安全官需要的不僅僅是通用培訓(xùn)模塊。
Rader說(shuō),“我們已經(jīng)收到了反饋,這些模塊可能過(guò)于通用,以至于它們毫無(wú)用處。”他解釋說(shuō),現(xiàn)成的培訓(xùn)選項(xiàng)可能滿(mǎn)足合規(guī)性要求,但不一定配備具備安全運(yùn)營(yíng)所需知識(shí)的新員工。
他看到培訓(xùn)課程使用的視頻僅說(shuō)明“遵循公司的自帶設(shè)備政策”和“遵循公司的密碼政策”,而沒(méi)有提供實(shí)際政策。
因此Rader表示,他會(huì)注意用更多特定于Insight Enterprises公司安全計(jì)劃的信息來(lái)補(bǔ)充基本的入職材料。他補(bǔ)充說(shuō),“我正在努力使入職材料更加具體,我還和首席信息官探討其作用。”
同樣,Retrum建議首席信息安全官根據(jù)需要更新他們的培訓(xùn)。正如他所指出的那樣:“風(fēng)險(xiǎn)會(huì)發(fā)生變化,因此18個(gè)月前的內(nèi)容可能與現(xiàn)在無(wú)關(guān)。”
例如,他看到安全培訓(xùn)側(cè)重于物理安全,但沒(méi)有提到網(wǎng)絡(luò)攻擊者通過(guò)短信進(jìn)行欺騙和釣魚(yú),網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)正在上升。
5.以標(biāo)準(zhǔn)化方法涵蓋基礎(chǔ)知識(shí)
微軟首席安全顧問(wèn)、曾任首席信息安全官和入職安全檢查表的作者Terence D.Jackson表示,他遇到過(guò)一些企業(yè)的員工的安全入職是以臨時(shí)方式完成的。
他回憶說(shuō),“它沒(méi)有實(shí)現(xiàn)正式化,更多的是部落知識(shí),沒(méi)有正式文件或培訓(xùn)材料支持。”
Jackson和其他人警告不要使用這種方法,并且不要假設(shè)當(dāng)今的員工對(duì)網(wǎng)絡(luò)安全有基本的了解。
他們強(qiáng)調(diào)需要以標(biāo)準(zhǔn)化、可重復(fù)的方法涵蓋安全基礎(chǔ)知識(shí),以確保每個(gè)人確切地知道對(duì)他們的期望,無(wú)論他們?cè)趧趧?dòng)力中的角色、經(jīng)驗(yàn)和年齡。
Rader說(shuō),“不能指望某人遵守他們不知道的規(guī)則。”
Beason表示,CapitalOne公司通常會(huì)招募各種經(jīng)歷的員工,但他們過(guò)去的經(jīng)驗(yàn)并不能保證會(huì)知道企業(yè)對(duì)他們的所有期望。
他說(shuō),“我們希望新員工知道我們公司的期望,因?yàn)槊考移髽I(yè)在安全方面的要求并不一樣。因此,在新員工進(jìn)入企業(yè)的工作環(huán)境之前,希望確保他們能夠安全地在這一環(huán)境中運(yùn)行,以便他們了解最佳實(shí)踐和可接受的使用方式,如何使用電子郵件,以及企業(yè)對(duì)他們的期望。企業(yè)需要向他們提供這些基本知識(shí)。”
6.為個(gè)人和角色量身定制培訓(xùn)
盡管?chē)@基本安全元素的信息應(yīng)該是一致和標(biāo)準(zhǔn)化的,但一些首席信息安全官表示,他們已經(jīng)成功地以不同格式共享這些信息。
Jackson說(shuō),“這是一種基線(xiàn)方法,能夠根據(jù)個(gè)人的需要進(jìn)行調(diào)整,并從中構(gòu)建。我相信最好的項(xiàng)目都包含了這種心態(tài)。為員工提供他們需要的方式;更加靈活地滿(mǎn)足他們的需求。這樣做的項(xiàng)目往往比那些一刀切的項(xiàng)目更受歡迎。”
Jackson指出了他的入職經(jīng)驗(yàn),就是讓新員工可以閱讀或收聽(tīng)培訓(xùn)材料或同時(shí)閱讀和收聽(tīng)。他表示,他喜歡收聽(tīng)培訓(xùn)材料,但在接受更復(fù)雜的信息時(shí)更喜歡同時(shí)閱讀和收聽(tīng)。
此外,成功的入職培訓(xùn)計(jì)劃傾向于為角色和業(yè)務(wù)部門(mén)量身定制培訓(xùn)材料,并使用培訓(xùn)工具讓新員工快速了解他們的企業(yè)安全,以便他們可以將更多注意力集中在培訓(xùn)材料上。
他補(bǔ)充說(shuō):“企業(yè)盡量以員工為中心。”
7. 將入職培訓(xùn)作為持續(xù)培訓(xùn)的一部分
IT服務(wù)管理商Genpact公司的高級(jí)副總裁兼首席信息安全官Ram Hegde認(rèn)為,給新員工的安全信息應(yīng)該是輕量級(jí)但有效的信息。
和其他人一樣,他認(rèn)為新員工在開(kāi)始工作時(shí)無(wú)法吸收他們獲得的所有材料。
Hegde補(bǔ)充道:“因此,現(xiàn)在可能不是讓他們接受大量材料或計(jì)劃完成大量工作的最佳時(shí)機(jī)。因此需要考慮基礎(chǔ)培訓(xùn),關(guān)注最大風(fēng)險(xiǎn)。”
考慮到這一點(diǎn),他使用了一個(gè)在線(xiàn)互動(dòng)培訓(xùn)模塊,讓新員工能夠快速瀏覽他們已經(jīng)了解的材料,并花更多時(shí)間了解新信息。
他說(shuō),“這確保他們得到他們需要的東西,但它不會(huì)讓他們超過(guò)必要的時(shí)間。”他補(bǔ)充說(shuō),對(duì)以前使用的材料有反饋,這些材料冗長(zhǎng)、無(wú)聊和多余,而所有這些都促使企業(yè)轉(zhuǎn)向到更短、更吸引人的模塊。
隨后,該公司采取了后續(xù)行動(dòng),為新員工提供了更詳細(xì)的培訓(xùn),幫助他們適應(yīng)工作。
Hegde解釋說(shuō),“對(duì)我們來(lái)說(shuō),我們希望確保首先觸及關(guān)鍵方面,考慮到各種背景,然后在下游,根據(jù)員工的情況進(jìn)行更有針對(duì)性的安全培訓(xùn)。”
其他人強(qiáng)調(diào)這種方法的重要性,指出它與廣泛持有的最佳實(shí)踐相一致,即安全意識(shí)培訓(xùn)不是一種一勞永逸的做法。
Spitzner說(shuō):“無(wú)論互動(dòng)性如何,都無(wú)法在30分鐘的培訓(xùn)中建立良好的安全行為。因此,確保新員工具有安全方面知識(shí)的關(guān)鍵是在他們的整個(gè)職業(yè)生涯中進(jìn)行持續(xù)培訓(xùn)。因此,當(dāng)他們加入企業(yè)時(shí),告訴這是他們的責(zé)任,只要員工在公司中工作,就會(huì)不斷接受網(wǎng)絡(luò)安全培訓(xùn)。這種持續(xù)培訓(xùn)才是真正構(gòu)建安全文化的基礎(chǔ)。”
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門(mén)戶(hù),同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)