文档章节

关于如何将安全意识带入企业的思考

翟志军
 翟志军
发布于 2015/06/17 12:41
字数 1572
阅读 349
收藏 2

在企业中做安全防御,我们需要并只不是工具或者技术,我们更需要的是一个具有安全意识的大脑。从《欺骗的艺术》、《反欺骗的艺术》、《社会工程--安全体系中的人性漏洞》这些社会工程类的书中,我们就已经看出。

所以,企业运营的一个不显眼,但如果疏忽就可能会带来毁灭性的问题是:如何将安全意识带入企业。

本文试图将作者在这方面的思考记录下来,希望能引起更多人在这方面的思考。

(图片下载自豆瓣)

如何看这个问题

我们将“如何将安全意识带入企业”这个问题扩大:如何将一种意识植入企业员工?

这让我想起:世界上两件事最难:一是把自己的思想装进别人的脑袋,二是把别人的钱装进自己的口袋。我们很多人都知道前半句说的是老师,虽然并不是每位老师都能做到。但是毋庸置疑,老师就是专门干这事的。而成功的企业家也很擅长干这事。

所以,半个教师专业的我推论“如何将安全意识带入企业”这个问题的本质也就是教育心理学要解决的问题。

然而,安全意识教育这一领域,我们不知道到底能从更宽泛教育学中获得多少意义。

那是不是意味着我们应该停下将教育学、心理学等相关学科中的“如何将一种意识植入企业员工”相关的知识吃透;还将安全意识本身研究透才开始我们的“植入”?才开始将安全意识带入企业。

这样看来是闭门造车。而我更倾向于持续学习+持续实践。


如何解决这个问题

对于解决一个问题,我们可以是被动的,也可以主动去解决。

被动地解决

中国有一句古话:吃一堑长一智。的确当企业中员工犯了安全上的错误后,他今生都不会忘记。但是不论员工本身是否“长一智”,企业的损失已经发生了。这明显不是我们想看到的。

主动地解决

其实,我们很容易想到企业培训是“将安全意识植入企业员工”的这种路。其实,正由于我们“很容易”想到(思维定式),让我们认为只有这一种方式能达到我们的目的。

但是,有一点,我们应该意识到的是企业培训很多时候只是告诉员工企业的期望是什么,并不意味他们就一定按照企业的期望来行事。企业培训,江湖戏称:洗脑。

图片来源

将安全意识植入企业培训中

认识安全意识

这里有个思维陷阱,我从文章开头到现在都没有提:安全意识是什么。 事实上,理解这个问题比起如何培训更重要。因为安全意识是问题的本质,而如何培训只是解决问题的其中一种手段。

所以,“如何将安全意识带入企业”的第一步是真正理解什么安全意识。怎样理解问题本身决定你是如何解决这个问题。

如何培训

关于“如何培训”,我们必须考虑的点有培训的时机、培训的地点(相对不那么重要)、讲师、培训的形式、培训内容等。

培训的时机:做企业培训的人都知道,通常情况下相对于培训在其它企业工作了几年的人,应届毕业生的培训效果更好。所以,我们应该将这个应届毕业的培训中加入安全意识培训。对于ThoughtWorks,则应该在TWU的课程中加入。

讲师:讲师必须具备两点:他必须本身就很懂安全意识是什么、他必须懂得如何将安全意识植入学员的脑袋。

培训的形式:我们可以有授课、实战、外聘专家授课等。

培训内容:我们需要从两方面入手:人性的漏洞、技术上的漏洞。

如何评价安全意识培训的效果

没有反馈就不知道如何改进。所以,我们在设计安全意识培训时,还必须同时考虑如何评价。这里所说的评价和KPI半毛钱关系都没有,请不要脑补。

成本?

对企业来说,不考虑成本是不实际的。为了能让安全意识在每一位员工身上,我们需要投入多少钱?如何量化这个投入过程?

除了培训

除了培训,企业还可以每隔一时间聘请业内的安全审计工程对公司技术和人进行安全审计;在企业进行黑客大赛(要考虑公司的具体情况)等等。

我们的思维方式中,不应该认为只有依靠培训来达到“植入”目标。

总结

本文只是思路,很多本质上的问题没有回答,而且可能存在思维漏洞,有些观点必须在实践过程中才会被证明。所以,希望大家多多给意见。

本文还有一点没谈的就是这些事情如何在企业推广?因为这个问题是另一个话题,不在本文讨论。

道高一尺魔高一丈。大家且行且珍惜。

图片来源


© 著作权归作者所有

共有 人打赏支持
翟志军

翟志军

粉丝 346
博文 76
码字总数 79851
作品 2
深圳
程序员
私信 提问
最有效的员工安全意识培训:模拟网络攻击

在当今的黑客眼里,员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说,模拟钓鱼等“安全演习”能有效提高员工的安全意识,竖起一道“人力防火墙”。 网络钓鱼是一种常见的社交工程攻...

关志刚
2013/04/13
0
0
剖析安全培训项目走向失败的6大关键原因

        事实上,网络安全事故是一个渐变的过程,是不安全因素在量的积累达到一定程度后,出现的飞跃性质变的表现形式,采取切实有效措施防止量的积累,是不可缺少的重要手段。俗话说:...

嘶吼RoarTalk
08/25
0
0
最有效的员工安全意识培训:模拟网络攻击

在当今的黑客眼里,员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说,模拟钓鱼等“安全演习”能有效提高员工的安全意识,竖起一道“人力防火墙”。 网络钓鱼是一种常见的社交工程攻...

oschina
2013/04/14
2.5K
2
如何将威胁情报整合到安全意识项目中?

        网络威胁情报(Cyber threat intelligence,简称CTI)以及作为其立足根基的安全运营正在更为广泛的业务体系中快速增长。根据研究结果显示,93%的受访者表示他们至少在一定程度...

FreeBuf
05/13
0
0
OSC 职位推荐 | 借我 3 分钟,还你一个更好的机会

世界上什么最快?变化最快。身为开发的你,是否也跟紧了时代的变化在做一些职业的转变?你是否好奇那些10+年工作经验的前辈们的现状如何?你是不是也曾思考未来的职位发展前景?借我 3 分钟...

oschina
2015/12/23
3.8K
10

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周二乱弹 —— 请上车吧

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @2amor :分享王菲的单曲《闷》 《闷》- 王菲 手机党少年们想听歌,请使劲儿戳(这里) @開源中國周杰倫 :昨天睡觉肚子疼,妈蛋,半夜爬起来...

小小编辑
23分钟前
81
5
工作中如何做好技术积累

参考:https://tech.meituan.com/study_vs_work.html 看了这篇文章,觉得总结得非常好,因此摘抄了一些关键点,以便自己经常翻阅。 引言 在繁忙的工作中做好技术积累,构建个人核心竞争力. 在...

grace_233
34分钟前
5
0
day146-2018-11-13-英语流利阅读-待学习

5 岁“牛娃”简历给 985 精英一个暴击 Lala 2018-11-13 1.今日导读 “不要让孩子输在起跑线上”,似乎已成为了当下最流行的名句,每个身为家长或还未成为家长的人都不得不思考这句话的分量。...

飞鱼说编程
47分钟前
4
0
Mariadb二进制包安装,Apache安装

安装mariadb 下载二进制包并解压 [root@test-a src]# wget https://downloads.mariadb.com/MariaDB/mariadb-10.2.6/bintar-linux-glibc_214-x86_64/mariadb-10.2.6-linux-glibc_214-x86_64.t......

野雪球
今天
4
0
ConcurrentHashMap 高并发性的实现机制

ConcurrentHashMap 的结构分析 为了更好的理解 ConcurrentHashMap 高并发的具体实现,让我们先探索它的结构模型。 ConcurrentHashMap 类中包含两个静态内部类 HashEntry 和 Segment。HashEnt...

TonyStarkSir
今天
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部