引言
6 月 19 日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在 2019 年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。
Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致 1 亿美国人和 600 万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年 7 月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。
在个人信息安全泄露事件层出不穷的今天,作为企业内部预防安全事件的发生及提升员工网络安全意识已然成为重中之重。下面将从案例及实操角度分析如何提升企业的安全意识层级:
一、企业普遍存在的网络安全风险
● 客户数据泄露被不法分子传播、利用
● 公司内部账户、信息外泄
● 操作系统被入侵、造成各类损失
● 内部信息数据恶意篡改
······
网络安全中有一句古老的格言,人类是安全链中最薄弱的环节。面对各类网络威胁的席卷及员工的粗心大意,这种情况越来越频繁。但企业同时也可将这个薄弱环节变成一个强大的第一道防线。关键就是推出有效的安全意识培训计划。
二、网络安全意识宣教难点
● 培训形式单一
● 内容杂乱枯燥
● 投入大、效率低
● 难以长期坚持
● 效果不明显
以上几点可以说是所有企业在网络安全意识培养上的共性难题。那么如何用一套成熟/有效的方案去解决?
三、意识宣教实操案例分享
企业在搭建安全意识培训体系共为以下六步,下面将会分别将每一步骤的执行内容做详细的说明。
1.了解法律法规
为什么会把这一项放在建立网络安全意识培训的第一步?我们都知道,在执行一项工作的时候首先需要进行的就是意识的强认知,同时也需要了解我们为什么要做这件事。清晰的了解国家网络安全/自身行业的法律法规就是在为后面执行工作做铺垫、打基础。以证券行业为例,清晰的了解所在行业的要求,才可以在后续做计划中有的放矢。
(图例:谷安天下安全意识证券行业宣教方案)
2.会议立项
在确定启动网络安全意识培训的工作前,企业内部可以安排一次内部的立项会议,会议的内容主要确定以下几点内容,其中重点需要根据企业自身情况来商定每一项的可执行范围。
img
3、物资准备
这里是工作执行中最重要的一环,俗话说工欲善其事,必先利其器。全面有效的学习内容是达成结果的保障。以上四项是企业在安全意识准备中不可或缺的内容,一般包括:
- 多媒体——动画、电子手册、安全短剧、宣传片
- 日常可视化——桌面、屏保、海报、易拉宝
- 定期学习—— 学习平台、模拟钓鱼测试
- 实物类——期刊、手册、折页
以上是举例,对于实际准备上企业可以制作表格分类进行统计,做到全面无遗漏。
4、执行计划
当确定好人员及物料后,便可以开始按年、月、周、日 分别进行对应的执行计划。这里执行有2个关键点;第一是确定日常需要反复进行的的宣教工作,第二是根据公司情况在特定月份推出特色活动,丰富宣教内容及方式,提升全员参与感。
(图例:谷安天下安全意识宣传教育年计划方案)
5、跟踪验收
有结果的训练才称之为有效训练,在验收阶段一般有2种渠道:手动验收和自动验收
手动验收一般来说是根据盘培训内容在固定时间进行试卷/线上测试题考试,根据考试结果来衡量训练情况。自动验收就是通过学习平台,收集日常学习数据及考试数据,从而通过数据分析得到更详细的参数。如下图为【谷安天下—安全易视系统】可以清晰的看到每个参与学员的人员成绩:
(图例:谷安天下安全易视平台)
6、复盘优化
在进行一轮完整的培训流程之后,我们一定会发现在执行过程中存在很多可取/不足之处。这里需要及时的进行复盘,这里推荐一套科学的复盘方法:
很简单的4个模块,思考完毕逐一填写总结,并做好优化后的执行计划内容。
总结
综上我们会发现安全意识宣教的整个执行流程是一个非常完整的闭环,同时需要每个环节紧紧相扣,也需要非常完备的内容以及计划,方能使整个宣教实现真正落地。
扫码获取安全意识宣教体验资料
谷安意识服务成功案例