最近,一项国际调查表明:有近一半的职场新员工不知道他们的公司是否有网络安全政策。该研究还表明,员工需要更多关于网络安全政策的沟通和培训。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:如果在国内搞调查,这个数字应该远超过一半,达到90%都不奇怪。很多中小型规模的组织机构,甚至是机关单位,真的就没有网络安全政策,更不能说让员工知晓该政策的内容了。
该调查还表明,组织机构的各个级别的员工们都可能没有意识到他们的工作单位可能面临IT安全威胁。有75%的受访者表示,他们的雇主在网络安全方面完全没有做任何事情,更不用说在该领域进行培训了。简言之,新时代员工几乎没有意识到其所在工作单位的网络安全与自身之间的关系。
有人可能会对国际调查表示疑惑,那些调查的结果有什么用呢?
一方面,员工缺乏意识会使组织面临IT安全风险。攻击将越来越频繁、越来越复杂,以突破组织可以实施的所有保护措施。当下,即使国家、运营商甚至IT部门实施了大量的网络安全保护措施,但是员工们会觉得这是应该的,和自身没有什么关系。这种置身事外的观念,正是网络不法分子的想要的。为什么呢?因为不法分子开始利用人性的弱点,通过员工防范意识的薄弱,冒充权威身份,直接通过电话索取内部甚至机密信息。或者,通过钓鱼邮件、诈骗网站加上恶意软件,渗透员工使用的终端计算设备,进而盗取员工们的身份,以及更多信息资产。
另一方面,网络安全是一场与网络不法分子的竞赛,战场不仅仅是专业人员——IT团队,也包括广大群众——员工。要动员员工们,组成群众防线,需要提升员工们的技能并加之鼓励。俗话说:要出师有名,要有正当的理由。就需要有拿得出来的网络安全政策,不然,员工们可能会在诸如“将计算设备保持最新”方面,有“为什么要我这样做”等等的疑问。
当下,远程工作的激增带来了针对远程工作人员的新一波网络攻击,多位行业专家表示,传统的建筑园区,已经无法为这些终端用户提供边界安全防范,缺乏网络安全培训可能会增加网络风险。
为了提高员工对IT安全问题的认识,专家建议所有规模的组织机构都保持“自上而下”的网络安全政策。有的机构想从网络管理员“自下向上”推,经常会碰一鼻子灰,员工对IT安全问题的认识应该由组织机构的执行领导层来推动。当公司领导者在整个组织中强调并传达IT安全性时,员工才会更加意识到安全的重要性,并为网络威胁做好应对的准备。
网络安全政策,不仅可以名正言顺地“抗击”如黑客等网络威胁,亦能赋予员工网络安全能力,包括责任和义务。
提高安全意识的一种方法是在新员工入职期间进行安全培训。向更高级别的员工提供更合乎其角色和职位的IT安全入职培训计划,能让该高阶群体对IT安全威胁的意识和应对准备程度更高。
总之,为所有员工提供IT安全入门,可以缩小入门级和更高级别员工之间的IT安全知识差距,并有助于确保整个组织对网络安全问题有更加深入的认识和准备。
通常,当人们认为自己处于危险之中时,为时已晚,要么是因为他们认为自己的数据不值得窃取,要么是因为他们没有看到投资网络安全培训可以带来的价值。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:投资网络安全与买保险有相似之处,有时我们看到的一些组织机构的驱动因素只是他们自己或他们的同行成为目标并遭受某种形式的财务或生产力损失,然后最终意识到网络安全的重要性。当管理者认识到恶意软件攻击不仅变得更具破坏性,而且比以往任何时候都更容易感染之时,或者在面临强大的网络攻击骗术,员工们脆弱不堪时,再急忙补搞网络安全意识培训,会发现并不会获得立竿见影的效果。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。
