安全意识规划CSO 必备九大技巧

发布时间:2013-12-16 10:20 作者:佚名来源:IT专家网点击:加载中...次

安全意识培养的尴尬在于：容易流于形式，很难评估效果。但安全意识对于企业又至关重要，做一套行之有效的安全意识培养规划是很多CSO可遇而不可求的，今天的文章重点分享安全意识培养的技巧，角度新颖、方法创新，可操作性强，异于形而上的传统思维，是CSO必读之宝典。

到底需要哪些要素才能让一套安全意识规划获得成功?今天的文章中我们将为您分享由CSO们提供的九项技巧，从而深入探讨“如何真正培养企业的安全意识”这一话题。此外，还有七步计划助员工真正拥有安全意识可以供您参考。

一、确定衡量指标

“安全工作中最关键的要素之一在于如何衡量自己的努力是否取得了成功。衡量这一目标的惟一方式就是收集先前信息，摸清状况，根据当下背景开展新的安全意识培养工作。”安全意识规划服务公司Scure Mentem的负责人Ira Winkler与Samantha Manke这样表示。

在该公司最近发表题为《成功安全意识规划的七大元素》一文中提到：安全工作是否成功主要取决于组织成员的态度。其具体内容还包网络钓鱼模拟工具的使用，以及安全意识培训课程等。大家也可以检查与安全相关的事故数量，例如员工曾经多少次尝试访问违禁网站。

二、换个角度看安全意识测试结果

“当人们讨论意识问题时，他们往往只专注于预防——他们试图通过‘人力防火墙’('human firewall)的概念保障自身安全，”SANS协会人力规划保护培训主管兼《安全意识五大误区》作者Lance Spitzner指出。“尽管预防确实非常重要，但为什么要把眼光局限在这里呢?为什么不把员工从‘人力防火墙’培养成‘人力传感器’(human sensors as well)?”

Spitzner建议大家通过培训帮助员工了解违规事件的衡量指标，从而使他们具备报告潜在事故的能力。“举例来说，如果企业正在进行内部钓鱼测试，那么所关注的结果不该只是有多少员工被成功引入陷阱，更要留心有多少员工敏锐地发现了问题并报告这一攻击活动。想象一下，如果这样的能力普及开来，我们的企业将具备多么强大的自我保护能力，”他解释道。

三、允许员工在一定程度上打破规则

打破规则往往能够提高企业内部安全意识，Security Catalyst公司的Michael Santarcangelo认为。

为了让这一切真正起到预期效果，Santarcangelo建议大家按以下步骤进行操作：

1，选择“正确”的规则予以打破：挑选那些不太可能造成真正危害但又有助于员工理解自身行为后果的规则。

2，将此定性为特殊事件(而非常规事件)：当出现员工违规操作时，提醒员工企业尊重他们，因此不会就该事件对其进行惩罚，但同时提醒他们这件事造成了一定影响(包括一部分组织影响)。

3，采用组织对话而非讲座方式从员工的实际经历中总结经验，进行借鉴，用实际事例帮助员工更好地理解企业安全规则制定的目的。

四、创新安全意识规划方案

“在过去，大多数安全意识规划都没能真正改变员工们的行为方式，”Spitzner表示。“这主要是因为过去的大部分规划从设计思路上就没打算改变员工们的行为方式。这类规划的惟一目标就是符合合规性审查的要求，从而在考核表上多得到几个对勾，造成安全意识规划上的低投资回报率。”

“这些直白、单调而又不成规模的老式安全意识规划让人提不起兴趣。总会有某位讲师每年出现在员工面前带着自己的PPT喋喋不休地陈述理论，又或者以季度为周期向员工发送安全意识信息，”Spitzner补充道。对于新型安全意识规划来说，有效改变员工行为方式才是主要目标，Spitzner认为企业需要创建一套能够从根本上带动员工积极性的新型规划。

五、获得高管团队的支持