金融业企业安全建设系列谈之安全意识培训

 

致谢

 

由前蓝莲花战队核心成员，现长亭科技CEO  陈宇森 整理，聂君校对，全体内容版权属于发言人，如有侵权，请联系聂君删除，特此致谢。

 

题记

 

在这里首先放一下群主建群的初衷：

“今天的讨论有很多有价值的话题和发言，有一点小建议：安全领域众多，我们这个群基本以企业安全团队负责人为主，关注的是企业安全最后一公里的问题，偏重于安全有效性和最佳实践，因此请一些朋友照顾一下，偏理论的讨论少一些，偏实践的多一些，这样给大家的实际工作帮助更大一些。互联网公司安全为什么能一定程度引领行业发展，还是因为从解决实际问题出发，因此本群的讨论，很多看起来并不是高大上的话题，但却是解决企业实际问题必须的。吾生有涯而学无涯，把有限的精力投到快速解决实际问题上去，恳请大家照顾一下。”

 

今天下午群内的主题一度是“安全意识培训”，由一位群友引出这个话题之后，各位纷纷发表看法。

 

对于提升员工的安全意识，有以下两个大的阵营，“演习派”和“培训派”。

 

演习派

 

•  某国际大公司每年会进行三次内部钓鱼，最好用的话题是“升职、加薪、换电脑”。“加薪”的钓鱼效果最好。

•  钓鱼要在平时，让大家提起精神来。下回上台演讲的，就是那些被钓鱼的人咯。

•  你光苦口婆心的讲，没有用，必须有大棒，还得打上几回。

•  一点意见，安全意识培训得配合考核和演习，之前911 时候五角大楼的一个逃生故事重点就是平时演习到位了，才能在关键时刻让人做出正确的行为，不然听听讲什么的，很容易过了就忘了。

•  演习怎么落地呢？之前社工领导，差点被打死。

•  我们在某银行做过社工测试，效果很好。

•  我觉得这个其实需要多方推进，咱们做技术都认同演习的价值，但演习势必会让一些人不开心（被钓鱼、被社工总不是那么愉快），所以可能比较需要大领导的支持、或者有关部门的要求。通过一些大的推力，然后咱们就能把一些事情落地。虽然会有短痛，但长期来看，把安全意识提高了会有好处。

•  社工的时候避开大领导，很多公司这么做，让领导支持，而且不要搞领导。

•  社工对象最好是助理或者财务岗位，权限大，傻白甜妹子多，又不会伤及领导面子。（某个老司机）

•  某银行去年做过一次针对员工的社工，涵盖科技、业务、分支行员工，还是对员工，避开领导层，不公开员工名单。但从钓鱼邮件的分析来看，其社工目标很明确，就是逐级对准高层级领导。因此，我们在做安全教育培训的时候，针对高管是有特殊培训的。

•  关于授权，通常需要CIO、副行长或以上层级授权。

•  我们曾经分析过钓鱼邮件的演进路径，先是无差别的社工，找通讯录，再逐层级往上社工。自己做社工演练可以代表实际威胁情况，出问题的往往都是低层员工没有安全意识，导致威胁逐步扩大。这类演练给分行做安全意识培训的时候效果就很好。

•  测密码是要保护隐私的，这个得回避，搞安全的拿到别人的秘密是危险事情，很多人各种渠道是相同秘密。内部安全要控制知晓权，虽然你能！

 

 

培训派

 

•  安全意识最有效的手段在新员工入职培训这一阶段，说清楚违反安全规定的后果，他们往往会认真听，然后就是日常管理中的检查通报，让他们体会到违反安全规定是要承担后果的。

•  但要防止来培训的员工只是来听一下“黑客故事”，听了就忘了。

•  我们安全意识培训每年都做，此前都是从某安全公司定制一些视频和行业安全杂志提供给公司员工，以及组织一些必要的内部培训，在2014 年我们做过模拟评估，就采用外部安全公司社工、钓鱼的方式，评估的结果很惊人，也成为安全意识的一部分素材。

•  推荐一本安全教育不错的书《办公安全演义》（谈剑峰），没看过的建议买本看看。

 

但不论是演习还是培训，要让安全意识深入人心，离不开好的奖惩措施。

 

关于惩罚

 

•  奖惩制度其实一个问题，别人会觉得“我不过犯了一个小错，如：没有关屏幕你就要处罚我凭什么”。

•  如果安全能做到让群众又爱又怕，那当然最好了，若是做不到，只能做到怕，也可以的。

•  安全如果老板重视，那在公司地位倍儿高，如果老板不是很重视，做安全就得到处求人，待遇差别太大了。

•  违规处罚对安全意识培训非常好。

•  互联网企业的管理比较宽松，处罚能否落地和企业文化有关系。

 

小故事一则

 

那么关于安全意识不到位的情况，能有多差劲呢？

 

•  我以前就在公司内部做了个SSO，把个人电脑、E-mail、RTX、OA、内部BI、运维系统等都接入了，然后做弱密码检测。接着主动扫描 MySQL / SQLServer 等，结果推进 CEO 改123456 的密码花了 1 个月。邮箱密码。

 

最后的总结

关于提升员工的安全意识这个话题，从发言关键词的数量来看，推崇演习的人比只单单看重培训的人多很多，说明大家都意识到了“脱离演习的培训是空洞和低效的”。

 

但从演习的角度来讲，如何推进，如何获得授权，如何做出效果而又不伤害到个人隐私，是值得认真思考总结和不断改进的。

 

另外在平时，一定要对安全意识低下的行为作出惩罚，因为有的安全意识低下的行为甚至会影响到整个公司的核心数据安全，只有赏罚分明才能把管理制度落地，但这个也需要高层领导的大力支持。

 

通过最后的小故事大家也可以看到，推进全员安全意识提升还是条漫漫长度，需要各位一同上下求索。

 

一点资料

 

1. 唯品会信息安全培训体系

http://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652277842&idx=1&sn=f6fe9055466a46428a111473d7c007bf&chksm=f74865c6c03fecd0d929dfcd164ae433be8e85b221e10df0a3e2342257ae512575df339a908b&mpshare=1&scene=1&srcid=0109qyXGQdTY5WNjtMffJZ9l#rd

 

1. 这里有不少员工意识培训的材料，可以参考一下

http://www.e365.org/?cat=2561

 

1. 某互联网公司员工信息安全意识培训PPT

PPT下载链接: http://pan.baidu.com/s/1eRK2blw 密码: 4en5。

 

写于机场登机前。（出差狗等飞机延误已经习以为常了）

 

想加入金融业企业信息安全群请联系微信公众号“君哥的体历”，后台留言，微信号+公司名称，验证身份后入群。

 

人生最美好的莫过于各种经历和难忘的体验，过程比较痛苦的，结果都还比较好。如果大家和我一样，在企业做安全中遇到各种颇为“痛苦”的体历，过后你一定会感谢和怀念这份体历的。

 

 

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。

  
  

长按识别二维码，和我交流。

 

本文始发于微信公众号（君哥的体历）：金融业企业安全建设系列谈之安全意识培训