如何在你的企业内部实施安全意识(security awareness)计划?
一个企业安全意识计划的目标不仅仅是让所有的员工理解并看重公司信息资产的价值,还要让他们明白假如这些资产的安全受到威胁,将会带来什么样的后果。从理论上说,这个过程是直截了当的,没有什么痛苦。但是就象每一个IT/安全经理都知道的那样,在真实的情况下,安全意识计划可能是一个巨大的梦魇--尤其是在大型的企业中。
你怎样才能正确地开始执行一个安全意识计划呢?你怎样才能确定什么工具会在你的企业内部有效?最大的问题是:你怎么样才能让每个人都有意识?我们的安全专家提出了一些简单,却经常被忽略的策略:
做好预备
xynoMedia Technology的CEO Lena L.West认为,在你设计安全草案之前,你应该对环境做尽可能多的了解。你必须注重的两个主要方面是:
人们实际上是如何使用这个系统的,他们为了达到什么样的目的--“这是在设计安全草案的时候最经常被忽略的一个问题,” West表示。“假如IT经理不了解公司是如何使用这个系统的,以及使用的目的,那么就很难确定安全级别。”
谁能够访问到什么信息,为什么,以及谁需要访问这些信息,为什么--“对于这两个问题的答案可以互相引证,并帮助你了解是否是合适的人得到了合适的访问授权,” West补充道。
West进一步强调,“对于IT经理来说,了解公司是如何使用信息的这一点是非常重要的,而且他/她还应该了解他/她所处的特定行业的动态……因为安全方法在特定的财务环境中和在特定公司结构中应该是不一样的。”
“最近的HIPAA和FIPAA立法都对安全方法提出了更高的要求。IT经理应该明确哪些是法律要求的,如何实现。医疗保健机构可能会需要对网络资源进行审查跟踪。假如一个文件丢失了,或者被复制了,被删除了,对于这样的行业来说,非常重要的就是要搞清楚是谁、在什么时候做的。但是这些对于其他行业的公司来说可能就不那么重要,比如说面包店。”
Security & Business Continuity的IT战略副总裁Monique Shivanandan建议,安全经理必须对企业目标、行动和政策有深刻的理解。“安全经理还必须了解员工的世界--规模、人员组成、治理风格和企业文化等。”
从高层获得支持
Neohapsis, Inc.(一家安全咨询及企业产品测试公司)的CEO E. Kelly Hansen强调,高级治理层的支持是非常重要的。“没有企业领导对于项目的大力支持,人们不会愿意参与其中。培训占用了人们日常工作的时间。在目前这样一个大部分公司都人员不足的情况下,培训看起来并不是一个好的主意。先做紧急的事情成为了大部分企业的规则。没有高级治理人员的明确支持,信息安全意识计划注定要失败。”
同样,West也表示,“IT经理需要理解,技术仍然是不得不被使用的东西。假如没有高级治理层的支持--级别越高越好--那么这样的计划从高级治理层到基层员工那里都得不到支持。”
联合你的盟友
Hansen还强调了和盟友配合的重要性。“我见过几家名列财富1000的企业让IT经理同企业沟通或市场经理协同工作。IT安全小组负责提供内容,市场方面的同事负责打包。”
另一个类似的方法是内部联合小组,Hansen建议。“假如你的资料能够先让几个部门领导(比如HR、法律、财务、治理等)进行阅读,就轻易收到比较好的效果。他们的反馈会很有见地。”
Shivanandan也同意这一观点。“IT经理必须组织企业内部多个部门的领导人,以使安全意识计划能够满足所有部门的需要,并能够提高员工的积极性。”
注重你的语言
“大部分IT经理都没有意识到他们在说外星语,”Hansen解释道。“IT语言对于企业内部大部分员工来说都过于专业。很多时候,人们觉得IT人员有意地说一些他们听不懂的话,这让他们觉得怨恨。”
“我们经常会发现有些安全讲师总是不能够把要传递的信息用一种听众能够感爱好的语言描述出来,”Hansen补充道。他们所使用的类比也是同样的问题,她认为。
“我们经常见到安全意识计划的进行布满了专业术语和军事化的类比,实施人员似乎从来没有意识到语言的影响。比喻有非常强大的力量。使用不恰当的语言会让人们不想听,更糟糕的是,可能会让人们觉得安全是件讨厌的事情--这是无论如何都要注重避免发生的情况。”
Hansen补充道,最好的安全意识计划应该是根据企业具体情况来进行定制的,“让你传递信息的方式符合企业的文化。”她认为“用一种谁也听不懂的外星语言说话不能达到目的--人们很有可能会一个耳朵进,一个耳朵出。”
优化内部沟通流程
安全意识计划能否成功在很大程度上取决于你所处企业内部的沟通是否有效。“在BellSouth” Shivanandan解释说,“我们经常评估内部沟通流程,对其进行优化,并通过这样的流程让所有的员工知道我们为了避免灾难的发生,正在做怎样的努力。”
“对于每一个行动,我们都会有一个全面的内部沟通计划,这是由公司内的PR人员制定的。我们利用我们的在线能力来达到沟通的目的。”
“我们每周都会发一个电子邮件的newsletter,它叫NewsSource”,Shivanandan说。“这个工具随时可以被利用。我们还每两个月一次向所有员工发送一种newsletter,它有两种形式--电子邮件或者是纸制的杂志。而且,我们使用我们的BellSouth Television Network(BellSouth电视网)通过位于大部分BellSouth建筑内都有的电视机,向员工发送信息。”BellSouth还使用自己内部完善而复杂的语音邮件系统,通过电话向所有的员工发送紧急信息。而且根据不同情况,还会使用印刷海报,ID徽章,钥匙卡等方法。
“我们现在进行的安全意识计划就如同一场使用了多种员工沟通工具的战争,我们鼓励员工每个月都对计算机进行安全扫描,以保障在BellSouth内,所有的计算机都免遭来自于互联网的安全危险。”
增加趣味性
West认为另一个能够让安全意识计划得以成功实施的方法是让安全变成一个“有趣的”话题。“很多人总是觉得安全问题很可怕,而安全专家都是非常高深的人。把这些让人惊恐的感觉消除掉,让他们看到他们自己也可以是这件事的一份子,他们完全可以参与近来。”West建议设定特定的电子邮箱或热线电话,让员工能够报告任何可疑的情况。
“一个可行的方法是采用互动式的游戏,或者加入幽默的元素,”Hansen表示。“一匙糖能够帮助传递安全信息。”
要这样说
“而且,我认为说明为什么采用某种政策非常重要,”Hansen补充道。“很多人天性中有叛逆的成分。假如你说不要按那个红色按钮,我们中的很多人都会去按一按。假如你解释说那个红色按钮会关闭电源,会造成数百万美圆的间接损失,我们就不太会去按那个按钮了。”
用同样的文件来约束员工
“应该让员工对书面的安全政策进行签名,”West强调。“这能够使你免于陷入一些官司,还避免了出现有的员工说‘我不知道我们不能这样做’。”任何安全行动都应该让所有的人收到同样的文件。
West认为,IT经理不应该忘记把一切都记录下来,并拷贝给所有员工,让他们签字,并在人力资源部保存这些签字的记录。
令行禁止
West的另一个重要的建议是:提高透明度,快速行动。“人们很难重视那些看不见行动的人,”她表示。“假如员工看见安全政策正在被贯彻,他们就会意识到企业对此非常重视,并强制性要求员工不能在这方面出错。假如你的政策书面规定任何员工都不能够下载不恰当的资料,那么你就应该做到令行禁止。”
总而言之
Shivanandan这样来总结一个有效的安全意识策略:“首先,为每一个行动做出全面的沟通计划。使用多种、合适的沟通工具以覆盖整个公司,并确保大部分员工:1)收到了信息;2)是通过一种他们会作出反应的沟通工具收到这些信息的。信息应该被传递到整个公司。信息应该简洁明了、含义清楚,对行动也应该有明确的要求。经理们应该帮助IT部门获得员工的注重和支持