本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
在如今的信息化时代,信息技术的不断发展为我们的生活带来了许多的便利。与此同时,随之而来的各种信息安全隐患开始层出不穷,全球范围内信息安全事件频繁发生,企业开始重视对信息安全的保护工作,但是,仅将足够的预算和资源投入到安全产品/方案的部署与建设并不意味着安全得到了有效的保障,很多时候,企业内部人员一个很小的失误就可能导致企业整体的安全保障工作前功尽弃。
据数据统计显示,企业信息安全领域的问题依次为密码安全、网络钓鱼、恶意软件......很明显,“人”才是信息安全中最容易被忽视的高风险领域,提高员工的信息安全意识是保护企业信息安全的关键之一。因此,企业进行信息安全培训是必不可少的举措。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图1 信息泄露事件-威胁行为占比分析(图片来源于网络)
信息安全培训是企业信息安全工作的重要环节,通过信息安全培训,对不同人员不同形式的宣贯,确保人员意识到信息安全风险和利害关系,可以有效提高企业各级员工以信息安全为业务前提的责任感和自觉性,防范信息安全事件的发生,具有在日常工作过程中支持企业安全方针的能力。通常,企业信息安全培训主要分为三部分:信息安全理念培训、安全技术培训、信息安全意识培训。
信息安全理念培训:
主要针对企业管理层人员。通过分析企业信息安全建设现状、难点、管理体系使之对信息安全的理念、 规律有清晰的认识,便于在企业信息安全决策过程中把握核心要点,有效地推动整个组织的信息安全工作。
安全技术培训:
主要针对IT技术人员,包括开发、运维、测试等。安全编码是最有效地防范应用安全被黑客攻击的手段,安全技术培训是通过讲解一些常见的黑客攻击的手法,分析代码安全,并通过最佳安全实践来规避这些攻击威胁。
信息安全意识培训:
针对企业全体人员。安全意识是人们头脑中建立起来的信息化工作必须安全的观念,通过对信息安全的基本概念、常见的安全威胁以及应具备的安全防护理念等知识的宣贯,使员工在信息化工作中对各种各样的信息处理保持一种戒备和警觉的心理状态。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图2 常见的信息安全培训类型
中通员工遍布全国50万+人,全国网点达3w+。面对人员基数庞大、岗位种类繁多的现状,中通信息安全培训需要主要解决以下四个问题:
(1)培训需求分析:依据岗位多样性,制定不同的培训内容和培训方式
(2)培训内容渗透:通过内部多渠道推广,渲染安全意识氛围,提升内部人员安全意识认知
(3)培训考核制度:在信息安全培训的同时,建立安全制度考核,激励员工主动关注企业信息安全
(4)培训评估反馈:培训的成效评估和反馈是不容忽视的,通过培训的评价评估一方面可以检验培训的效果,另一方面可以复盘培训工作,提升培训实效
为解决上述的问题和挑战,满足中通信息安全全体人员培训的需求,我们主要从企业员工全生命周期和人员分级分岗两个角度进行信息安全培训。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图3 中通信息安全培训体系
1、培训需求分析:基于员工企业生命周期、岗位的信息安全培训
中通信息安全培训依据员工企业生命周期分为三个阶段:员工入职阶段、员工在职阶段、员工离职阶段。
将信息安全意识培训纳入新员工培训课程中,每月进行一次,并将安全考核内容纳入新员工考试,培训结束后进行考核,考试不通过者不予转正。
针对不同岗位人员进行差异化的信息安全培训,以达到更好的安全培训效果。
(1)高层管理人员
高层的支持是企业信息安全培训顺利开展的前提,信息安全培训毋庸置疑应该是自上而下去推动的。因此,对高层管理人员的意识宣导尤为必要。通过对企业信息安全建设现状、难点、管理体系以及安全演练等风险的输出,传达正确的安全理念,以便高层管理人员去更好的制定安全战略规划。
(2)开发人员
针对企业IT开发人员,每季度会组织进行一次安全开发培训,给所有新入职开发人员培训基础安全开发知识,在完成培训后还会进行安全技术培训考试帮助技术人员巩固知识,考试结束后统一公布考试成绩,未通过人员将进行课程重修及补考,直至考试通过才予以转正。
(3)全体人员
年度安全意识培训:中通信息安全部每年会组织全员进行年度信息安全意识培训及考试,通过学习信息安全相关的法律法规、信息安全红线、日常办公信息安全行为规范等内容提高人员信息安全意识,培训后将组织进行相应考核,考核成绩与员工晋升发展、积分体系密切相关。
日常信息安全意识宣贯:除传统意义上的课程培训外,日常会通过信息安全意识漫画、海报、小视频、活动互动等方式增强安全意识氛围,多渠道进行安全意识宣传贯彻。
钓鱼演练:钓鱼演练是信息安全培训环节中很重要的一部分。基于庞大的业务体系,中通内部所面临的信息安全相关的威胁也较多,其中网络钓鱼是其中之一。中通信息安全部每年都会组织进行全面的钓鱼演练,能够让企业员工真切感知信息安全风险的存在,对自己识别安全风险的能力有更清晰的认知,并意识到钓鱼中招的危害。
(4)特定对象
针对不同部门及业务的需求、信息安全问题的反馈数据,中通信息安全部将会针对特定人员/部门进行不同类型的信息安全培训(如某些特定漏洞的分析等)。
离职阶段:
员工离职前除必要的员工行为核查以外,还应强化离职员工的信息安全意识教育,包括签署信息安全责任承诺书和宣贯交接过程中的安全注意事项,要让离职员工清楚的认知到,非授权获取公司机密数据及其他违反安全规范的行为,都是公司严令禁止的,一旦发现可疑行为,将会受到稽核调查,甚至上升到法律层面。
2、培训内容:有效触达用户
信息安全培训的目的在于让企业全体人员的安全意识得到有效提升。做好信息安全训的前提条件是培训内容能够有效触达企业的员工。所谓触达,就是指如何让我们的活动/内容被更多的用户知道,并令其加入进来。
(1)内部信息安全培训渠道有哪些?首先我们要明确渠道是什么?渠道就是所有能够带来用户的方式。在中通,线上的推广渠道包括内部系统的所有广告位、内部服务号、企业邮件、员工论坛、电子期刊、培训系统等,线下的推广渠道包括信息安全手册、会议室水晶牌、易拉宝、实体周边等。
(2)如何玩转内部信息安全推广渠道
一个不漏,全覆盖:
这种渠道推广的方式适合在某个集中宣传的阶段进行,比如国家网络安全宣传周期间或者年度信息安全提升月期间。2021年中通网络安全宣传周期间,我们就针对集团内的内部渠道进行了全覆盖。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图4 中通网络安全宣传周(内部服务号)
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图5 中通网络安全宣传周(开屏广告)
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图6 中通网络安全宣传周(培训系统banner位)
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图7 中通网络安全宣传周(茶水间广告牌)
合理的编排,实现渠道价值最大化:
信息安全宣贯内容反复出现容易导致员工审美疲倦,或产生一种认知错觉:老生常态的几个安全问题,前段时间刚发过。因此,在更多时候,合理的编排内部广告位才是常态。通常,我们以不同岗位常用的系统进行划分,同时实现了员工分级分岗的针对性培训
有效触达的第二步,需要解决两个关键的问题:触达时机和触达文案,即信息安全宣贯内容什么时间推以及推什么内容的问题。
(1)触达时机:日常什么时候推信息安全宣贯内容?设想一下:在周一的上午10点,你正在忙碌工作的时候,你会注意到手机上的推送消息或是论坛的帖子嘛?但如果是11点半临近吃饭的时候或者午休刚结束的时候呢?企业内部信息安全培训的推送群体为办公人员,选择一个潜意识的“摸鱼”时间:周五下班前/午休刚结束,该时间点内大部分员工的注意力相对都不会集中在工作上,通常会选择刷刷手机、翻翻帖子,而这正是我们触达员工的最佳时机!
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图8 内部服务号推送
(2)触达文案:信息安全宣贯内容主要推什么?选择了正确的推送时机后,我们已经做到了让尽可能多的员工注意到我们的宣贯主题/活动,那下一步要解决的核心问题便是如何让员工点击进来,查看具体的宣贯内容,而影响这部分的关键,便是我们每一条推送消息内的文案内容。以下根据不同的推广渠道方式举例:
APP推送消息:
APP推送消息的内容主要为主标题、副标题,要利用最短小精悍的文案制造吸睛点。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图9 APP推送安全意识推文示例
主标题通常是用户第一眼看到的,是最关键的内容,因此一定要抓住用户的眼球。往往可以通过利益点和奖品引起用户兴趣或者以互动的口吻进行选题
-
利益点:如果没做好信息安全培训,会引发怎么样的后果或者是学会信息安全的某个知识点能够规避怎样的问题,参考《骚扰短信、诈骗电话为什么总是找上我》
-
用户兴趣:参与抽奖领礼品,参考《大佬,这是你的帆布包》
-
互动选题:以互动的口吻与用户进行沟通,加强用户点击的欲望,参考《你的密码安全吗?》
开屏广告:
一般只要是 APP 覆盖并使用的人群,都可实现强制性的开屏广告推送,开屏广告的曝光率在各种渠道推广中应该算是极高的。同时,因其投放的时效性,并不能短时间阐述完整的情节内容,比较适用于大型活动的宣传诉求,如网络安全宣传周。通过开屏广告的投放,使员工进行,从而了解到网络安全宣传周的整体参与方案:线上知识问答、线下体验展互动、安全挑战赛等等。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图10 开屏广告跳转机制
社群推送:
企业全员群也是信息安全培训推广的极佳渠道之一。企业全员群涵盖企业内部所有员工,发布的信息是所有员工都会收到的,无需逐个部门通知。当然,因为群成员较多,各类信息充斥其中:新员工入职介绍、员工提问办公问题、行政通知等等。在这种情况之下,信息安全内容我们通常推什么呢——真人情景剧,中、短视频为主。
(1)群内消息多以图文为主,视频内容的发布比较吸睛
(2)真人情景剧的演员为身边的同事,主动点击的频次会更高,并且不需要进行额外的渠道传播,看过的人比较愿意主动转发或产生互动行为。
当然并不是说所有的视频传播就是存在绝对的优势,内容决定流量:选题是否吸睛?能否给用户带来情绪价值。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图11 中通科技情景剧画面
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图12 同事主动讨论情景剧
总之,培训内容有效触达所有员工,内容是核心。单一的培训内容无法吸引兴趣,我们需要根据不同渠道的信息安全宣贯推广进行优质内容的创作。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图13 中通信息安全培训宣贯内容部分合集
3、信息安全培训考核制度的建立
信息安全培训管理制度
规范管理,制度先行。为规范中通信息安全培训管理工作,落实全员信息安全培训的责任,中通信息安全部组织建立中通信息安全管理培训制度,要求内部全员规范进行信息安全相关培训,包括信息安全意识及安全开发培训等,并明确参训员工的责任与纪律、培训考核的奖惩。将信息安全培训的考核成绩计入员工档案,作为员工转正、晋升的必要条件之一。同时在内部建立部门综合安全指数,信息安全考核成绩作为各部门综合安全指数的考量指标之一,以附加分的形式纳入各部门综合安全指数,并在内部安全管理运营平台进行公示。
另外,员工的晋升管理制度将信息安全相关培训记为重要考核内容,本年度无故不参加信息安全组织的重要培训或考核内容不及格,将视为不符合本年度晋升提名的报名资格。
员工个人积分体系
为引导中通员工各项正向行为做激励反馈,中通内部建设完整的个人成长积分体系,用好玩且有即时互动性的性质,让大家感受到自身的成长,并且积分可以进行礼品兑换,给予实际的物质奖励。信息安全文化活动作为个人成长积分的一环,将信息安全培训、意识宣传、合规监测、事件反馈作为积分衡量的具体行为。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图14 信息安全文化活动积分规则
4、信息安全培训效果的评估
培训的效果的评估及反馈主要是为了提高培训效果,辅之以考核的方式,对员工培训的效果进行激励和惩罚。中通信息安全培训效果评估主要根据以下4个方面进行:
(1)培训的指标结果:培训的参与率、考核的通过率
一般情况下,新员工的安全意识培训、安全技术培训要求员工必须参与,如有特殊情况需提前请假,交由部门主管及培训负责人审批。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图15 安全开发培训结果输出
(2)员工培训满意度:
在员工定期的安全意识培训结束后,会统一安排受训人员填写当场安全培训满意度问卷。每年年终,也会针对全网人员发布信息安全宣贯调查的问卷,主要侧重于以下几点:办公环境是否存在固定的信息安全宣贯内容展示、最常接触的信息安全宣贯渠道类型、对信息安全培训方式的选择及感兴趣的内容等。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图16 2021年度全网信息安全宣贯问卷结果
(办公环境是否存在固定的信息安全培训内容)
(3)安全意识演练及检查的结果:陌生文件打开率、链接打开率、钓鱼中招率等
中通信息安全部每年会组织进行针对内部员工的钓鱼演练,并依据部门或者中心统计陌生文件打开率、链接打开率、钓鱼中招率,钓鱼中招的人员要求会安排线下集中培训并进行相应考核。
在统计钓鱼结果的时候,单一的输出钓鱼中招率是完全不够的。不是每一个员工都有立即查看推送的习惯,部分人看到提示信息手头正好有事项需要处理便不会理会。另一方面,打开了推送内容却没有点击钓鱼链接并不意味着就成功识别出了钓鱼链接:内容看完自己并不感兴趣不想继续进一步操作。这也意味着钓鱼的主题我们需要根据不同人群的喜好特征、岗位特点进行定制。
![技术干货 | 中通信息安全培训体系建设]( "技术干货 | 中通信息安全培训体系建设")
图17 某中心钓鱼邮件统计结果
(4)信息安全事件趋势:季度/年度安全事件发生频率、次数
中通信息安全部联合集团创建内部信息安全反馈渠道,通过季度及年度信息安全事件发生的总量进行趋势分析,重点培训相关人员及部门。
信息安全培训的课题任重而道远。未来,我们主要从以下三个方面去不断优化人员安全意识的评分体系、信息安全培训的衡量指标等,进一步提升人员安全意识。
(1)优化培训教材:多采用案例教学,生硬的理论知识并不能够深入人心,结合岗位特征以案例为解说点更容易理解
(2)信息安全培训与产研相结合。内部系统从产品设计开始纳入信息安全意识的内容,当员工的行为存在不良的趋势,自动触发安全意识相关告警并计入员工信息安全评分档案内。
(3)内部安全管理运营平台增加信息安全意识评估模块:员工通过对信息安全基础概念的自主答题、社工场景模拟以及安全PK赛等方式,对自身的安全意识综合评分。针对在信息安全考核中不及格、钓鱼中招等重点对象,能够自主标记并第一时间推送与主题相关的内容。
原文始发于微信公众号(安世加):技术干货 | 中通信息安全培训体系建设
评论