大家好,我叫Alexander Dvoryansky,我在Infosecurity担任商务总监已有五年多了,今天,我想与您谈谈处理机密信息的基本原则。
一次,加拿大心理学家埃利奥特·杰克斯(Elliot Jacks)提出了“企业文化”的概念。 我允许自己使用数字卫生一词。 这是企业文化的一部分,它决定员工采取什么行动以及他们如何影响公司的信息安全。
我将稍微关注我们的行业,以便您了解为什么我对此主题感兴趣。 信息安全提供信息安全,系统集成和咨询领域的服务。 对我们而言,重要的是证明我们不仅可以保护客户信任我们的数据,还可以保护我们自己的信息资产。 即使是网络安全公司发生的少量IS事件,也可能损害其声誉。 遭受这样的打击并不容易。
因此,公司数字卫生的形成受到以下因素的影响:
- 信息安全意识
- 信息获取差异化
- 使用技术手段控制和监测信息
今天,我将更详细地介绍这三只鲸鱼中的第一只,以提高知名度,或者说现在流行的是阿瓦尼斯。
为什么还要这样做?
在任何具有自尊心的公司中,都有内部法规,政策和方法论专用于处理访问受限信息的规则。 las,这些文件的存在绝对不能提供任何帮助。 严格遵守文档中规定的要求的员工可以提供真正的保护。 但是在哪里可以找到理想的员工呢?
诀窍在于您无需寻找它们,而可以说使它们成长。 一组培训活动和材料使您能够营造一种在公司中使用信息的文化。 如果正确选择了所有内容,员工将开始在反射级别上遵守IS规则-您不再需要担心其中任何一个不会阻塞计算机屏幕,丢失令牌或忘记打印机托盘中的季度报告。
好了,如何选择一切?
首先,将您的员工分成几组,并确定与每个组相关的主题。 高层管理人员不太可能对研究当前的软件漏洞感兴趣,但对于开发人员来说非常如此。
定义主题后,请考虑培训材料的格式:它们也需要个性化。 例如,前台员工没有太多的空闲时间,有时他们没有个人工作的计算机。 可以在交易大厅中放置和展示的明亮海报和简短视频适合他们。 后台员工可以更加重视培训,因此最好通过电子课程和培训邮件来解决。
另一个好的做法是在进行IS培训之前检查您的员工是否已经知道。 最简单的方法是测试并发送培训网络钓鱼电子邮件。 这将帮助您了解哪些主题需要更多关注。 好吧,当然,不要忘记监视学习过程中及其后的效果。
我可以仔细看看这些格式吗?
让我们从好的旧的全日制学习开始。 从某种意义上说,这是无可替代的:每个人都知道,在现场交流的陪伴下,信息会更好地感知。 可以以经典形式或根据案例方法进行培训。 在第二种情况下,讲师将学生分成小组,描述与公司有关的问题,并邀请每个小组给出自己的解决方案版本并为其辩护。 可以将两种类型的培训结合起来:在员工的第一个工作日为他们进行介绍性培训,以及案例培训-每月一次或每季度一次。
远程学习是全日制的一项有价值的竞赛,并且在将来,很可能它将完全摆脱自我。 电子课程,视频,邮件列表和在线游戏非常好,因为员工可以在自己方便的时候在不同类型的设备上查看它们。 他们还给竞争对手吹嘘“游戏化”和“微学习”这两个词的机会。
该图显示了我公司电子课程的幻灯片游戏化在电子课程中特别活跃。 它涉及游戏元素的添加:奖励和成就,任务的逐渐复杂化,引人入胜的故事,人物。 游戏化通常是一个有趣的故事,因为它可以完全是电子的,也可以“流入”现实生活。 例如,为了成功完成信息安全课程,可以给员工额外的一日假期。 当然,这些事情与人力资源部门是一致的。 我们中哪一个在工作中没有梦到电脑游戏?
微教育涉及材料在小块中的流动,并通过实际任务固定每个块。 例如,我查看了课程的5张幻灯片-回答测试问题或进行小练习。 如果我们在谈论视频,那么它们应该不超过一分半钟。 最好制作一系列简短的视频(顺便说一句,它们可以与一个有趣的故事情节结合使用),而不是强迫员工观看冗长的7分钟布道。 但这不值得无限地分割学习内容:这样一来,您可能会失去叙述的逻辑。
在图片中-我们的视频截图除了全日制和远程学习之外,其他培训材料也非常有用。 备忘,海报,贴纸和屏幕保护程序在使学习变得多样化和令人难忘方面做得非常出色。 不要害怕让专业设计师和插画家参与设计:材料只会从中受益。
在图片中-Flash游戏网络钓鱼大战的屏幕截图那么,一切都与多样性有关吗?
强迫一个人学习对他来说不有趣的东西,并观察他不理解的东西是不可能的。 通过为员工创建全面的培训计划,以一种简单易懂的语言列出材料并将其包装成游戏形式,实际上,您为您,公司和客户的安全做出了贡献。 如果一切都“根据科学”完成,那么您的投资肯定会得到回报。
服装公司Infosecurity的商务总监Alexander Dvoryansky