文档章节

关于如何将安全意识带入企业的思考

翟志军
 翟志军
发布于 2015/06/17 12:41
字数 1572
阅读 349
收藏 2

在企业中做安全防御,我们需要并只不是工具或者技术,我们更需要的是一个具有安全意识的大脑。从《欺骗的艺术》、《反欺骗的艺术》、《社会工程--安全体系中的人性漏洞》这些社会工程类的书中,我们就已经看出。

所以,企业运营的一个不显眼,但如果疏忽就可能会带来毁灭性的问题是:如何将安全意识带入企业。

本文试图将作者在这方面的思考记录下来,希望能引起更多人在这方面的思考。

(图片下载自豆瓣)

如何看这个问题

我们将“如何将安全意识带入企业”这个问题扩大:如何将一种意识植入企业员工?

这让我想起:世界上两件事最难:一是把自己的思想装进别人的脑袋,二是把别人的钱装进自己的口袋。我们很多人都知道前半句说的是老师,虽然并不是每位老师都能做到。但是毋庸置疑,老师就是专门干这事的。而成功的企业家也很擅长干这事。

所以,半个教师专业的我推论“如何将安全意识带入企业”这个问题的本质也就是教育心理学要解决的问题。

然而,安全意识教育这一领域,我们不知道到底能从更宽泛教育学中获得多少意义。

那是不是意味着我们应该停下将教育学、心理学等相关学科中的“如何将一种意识植入企业员工”相关的知识吃透;还将安全意识本身研究透才开始我们的“植入”?才开始将安全意识带入企业。

这样看来是闭门造车。而我更倾向于持续学习+持续实践。


如何解决这个问题

对于解决一个问题,我们可以是被动的,也可以主动去解决。

被动地解决

中国有一句古话:吃一堑长一智。的确当企业中员工犯了安全上的错误后,他今生都不会忘记。但是不论员工本身是否“长一智”,企业的损失已经发生了。这明显不是我们想看到的。

主动地解决

其实,我们很容易想到企业培训是“将安全意识植入企业员工”的这种路。其实,正由于我们“很容易”想到(思维定式),让我们认为只有这一种方式能达到我们的目的。

但是,有一点,我们应该意识到的是企业培训很多时候只是告诉员工企业的期望是什么,并不意味他们就一定按照企业的期望来行事。企业培训,江湖戏称:洗脑。

图片来源

将安全意识植入企业培训中

认识安全意识

这里有个思维陷阱,我从文章开头到现在都没有提:安全意识是什么。 事实上,理解这个问题比起如何培训更重要。因为安全意识是问题的本质,而如何培训只是解决问题的其中一种手段。

所以,“如何将安全意识带入企业”的第一步是真正理解什么安全意识。怎样理解问题本身决定你是如何解决这个问题。

如何培训

关于“如何培训”,我们必须考虑的点有培训的时机、培训的地点(相对不那么重要)、讲师、培训的形式、培训内容等。

培训的时机:做企业培训的人都知道,通常情况下相对于培训在其它企业工作了几年的人,应届毕业生的培训效果更好。所以,我们应该将这个应届毕业的培训中加入安全意识培训。对于ThoughtWorks,则应该在TWU的课程中加入。

讲师:讲师必须具备两点:他必须本身就很懂安全意识是什么、他必须懂得如何将安全意识植入学员的脑袋。

培训的形式:我们可以有授课、实战、外聘专家授课等。

培训内容:我们需要从两方面入手:人性的漏洞、技术上的漏洞。

如何评价安全意识培训的效果

没有反馈就不知道如何改进。所以,我们在设计安全意识培训时,还必须同时考虑如何评价。这里所说的评价和KPI半毛钱关系都没有,请不要脑补。

成本?

对企业来说,不考虑成本是不实际的。为了能让安全意识在每一位员工身上,我们需要投入多少钱?如何量化这个投入过程?

除了培训

除了培训,企业还可以每隔一时间聘请业内的安全审计工程对公司技术和人进行安全审计;在企业进行黑客大赛(要考虑公司的具体情况)等等。

我们的思维方式中,不应该认为只有依靠培训来达到“植入”目标。

总结

本文只是思路,很多本质上的问题没有回答,而且可能存在思维漏洞,有些观点必须在实践过程中才会被证明。所以,希望大家多多给意见。

本文还有一点没谈的就是这些事情如何在企业推广?因为这个问题是另一个话题,不在本文讨论。

道高一尺魔高一丈。大家且行且珍惜。

图片来源


© 著作权归作者所有

共有 人打赏支持
翟志军

翟志军

粉丝 349
博文 76
码字总数 79851
作品 2
深圳
程序员
私信 提问
最有效的员工安全意识培训:模拟网络攻击

在当今的黑客眼里,员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说,模拟钓鱼等“安全演习”能有效提高员工的安全意识,竖起一道“人力防火墙”。 网络钓鱼是一种常见的社交工程攻...

关志刚
2013/04/13
0
0
最有效的员工安全意识培训:模拟网络攻击

在当今的黑客眼里,员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说,模拟钓鱼等“安全演习”能有效提高员工的安全意识,竖起一道“人力防火墙”。 网络钓鱼是一种常见的社交工程攻...

oschina
2013/04/14
2.6K
2
剖析安全培训项目走向失败的6大关键原因

        事实上,网络安全事故是一个渐变的过程,是不安全因素在量的积累达到一定程度后,出现的飞跃性质变的表现形式,采取切实有效措施防止量的积累,是不可缺少的重要手段。俗话说:...

嘶吼RoarTalk
2018/08/25
0
0
如何将威胁情报整合到安全意识项目中?

        网络威胁情报(Cyber threat intelligence,简称CTI)以及作为其立足根基的安全运营正在更为广泛的业务体系中快速增长。根据研究结果显示,93%的受访者表示他们至少在一定程度...

FreeBuf
2018/05/13
0
0
人行提出对互联网金融差别化监管,福耶?祸耶?

  “我们思考的方向、重点已经从要不要互联网金融,互联网金融要不要监管,转到了互联网企业自身如何自我约束的问题,如何自立的问题。”这是中国人民银行调查统计司副司长徐若金在19日举行...

技术小美
2017/11/09
0
0

没有更多内容

加载失败,请刷新页面

加载更多

rabbitMQ 在spring 的使用

一、准备工作 maven依赖 <dependency>  <groupId>com.rabbitmq</groupId>  <artifactId>amqp-client</artifactId>  <version>4.0.2</version></dependency> <dependency......

狼王黄师傅
昨天
1
0
Android JNI总结

0x01 JNI介绍 JNI是Java Native Interface的缩写,JNI不是Android专有的东西,它是从Java继承而来,但是在Android中,JNI的作用和重要性大大增强。 JNI在Android中起着连接Java和C/C++层的作...

天王盖地虎626
昨天
1
0
大数据教程(11.8)Hive1.2.2简介&初体验

上一篇文章分析了Hive1.2.2的安装,本节博主将分享Hive的体验&Hive服务端和客户端的使用方法。 一、Hive与hadoop直接的关系 Hive利用HDFS存储数据,利用MapReduce查询数据。 二、Hive与传统数...

em_aaron
昨天
3
0
跟我学Spring Cloud(Finchley版)-15-Hystrix监控详解

Hystrix提供了监控Hystrix Command的能力,本节来详细探讨。 监控端点与数据 应用整合Hystrix,同时应用包含spring-boot-starter-actuator 依赖,就会存在一个/actuator/hystrix.stream 端点...

周立_ITMuch
昨天
6
0
day26:shell题

1、 判断当前主机的CPU生产商,其信息在/proc/cpuinfo文件中vendor id一行中。 如果其生产商为AuthenticAMD,就显示其为AMD公司; 如果其生产商为GenuineIntel,就显示其为Intel公司; 否则,...

芬野de博客
昨天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部