胡立

很多企業(yè)安全部門將預(yù)算和資源都投入到軟硬件安全解決方案的采購(gòu)與部署，側(cè)重技防，而選擇性忽略或者根本沒(méi)有更多預(yù)算投入人防。實(shí)際上人防與技防處于同等重要的位置，基于技術(shù)的解決方案覆蓋的領(lǐng)域是有限的，即使企業(yè)花了很多錢構(gòu)建安全防線，有時(shí)候一個(gè)來(lái)自內(nèi)部人員的小錯(cuò)誤就可能將企業(yè)置于岌岌可危的境地。

從攻擊端來(lái)看，攻擊者越來(lái)越重視終端用戶的行為心理研究，不斷通過(guò)各種方法繞過(guò)企業(yè)的安全防御策略來(lái)達(dá)到目的，水坑式攻擊和魚(yú)叉式釣魚(yú)攻擊就是兩種典型的方式。

要建好“人民防線”，離不開(kāi)良好的人員操作機(jī)制和安全意識(shí)提升計(jì)劃。通過(guò)制定周密的安全意識(shí)提升項(xiàng)目，員工能夠主動(dòng)擔(dān)負(fù)起責(zé)任，更好地保護(hù)企業(yè)數(shù)字資產(chǎn)和知識(shí)產(chǎn)權(quán)。此外，從更高的角度來(lái)看，員工還能將所學(xué)的安全知識(shí)延伸到個(gè)人生活中，使更多家庭受益。

2016年，Gartner曾發(fā)布了一篇安全指南，提出了一些幫助中小型企業(yè)在預(yù)算十分緊張的情況下提升員工安全意識(shí)的建議。三年過(guò)去了，網(wǎng)絡(luò)空間的形態(tài)發(fā)生了很多變化，因此Gartner的安全專家重寫了這篇指南，提出了幾種簡(jiǎn)單可行、立竿見(jiàn)影的方法，仍堅(jiān)持“調(diào)動(dòng)最少的資源”這一原則。

方法一：簡(jiǎn)單明了的消息通知

（1）內(nèi)網(wǎng)橫幅

采用網(wǎng)絡(luò)廣告的思路，在企業(yè)內(nèi)部網(wǎng)頁(yè)頂端添加橫幅，推進(jìn)安全意識(shí)的樹(shù)立和安全消息的傳達(dá)能力。

（2）登錄消息

諸如Microsoft Word和Unix等應(yīng)用和操作系統(tǒng)為管理員提供了系統(tǒng)登錄時(shí)發(fā)送消息的通道。管理員可以自定義消息推送，提醒用戶要遵守哪些安全要求、推送最新的安全提示或傳輸任何可以強(qiáng)化安全能力的消息。注意信息要保持簡(jiǎn)短且不要經(jīng)常發(fā)送，如果信息很復(fù)雜或者持續(xù)推送會(huì)降低它對(duì)用戶產(chǎn)生的印象，并且在部分國(guó)家和地區(qū)可能存在違反法律規(guī)定的風(fēng)險(xiǎn)。

（3）“阻止的站點(diǎn)”頁(yè)面

限制員工訪問(wèn)一些網(wǎng)站（社交媒體、搜索和購(gòu)物等正規(guī)網(wǎng)站）或阻止訪問(wèn)被視為有風(fēng)險(xiǎn)的網(wǎng)站，這是一種企業(yè)內(nèi)部常見(jiàn)的安全策略。注意不要只使用Web屏蔽服務(wù)供應(yīng)商提供的默認(rèn)“阻止的站點(diǎn)”頁(yè)面，或只寫一句“違反企業(yè)安全策略”。最好在頁(yè)面上為被阻止的網(wǎng)站創(chuàng)建自定義消息，告知用戶不能訪問(wèn)該網(wǎng)站的原因。用好“阻止的站點(diǎn)”，為員工提供額外內(nèi)容供他們閱讀或查看以及相關(guān)聯(lián)系人的信息，可以創(chuàng)造一個(gè)很好的主動(dòng)學(xué)習(xí)的機(jī)會(huì)。

方法二：各種類型的會(huì)議

（1）遠(yuǎn)程培訓(xùn)

如果企業(yè)規(guī)模比較大，將所有員工集中到一起進(jìn)行培訓(xùn)不方便，可以開(kāi)展在線視頻培訓(xùn)，員工無(wú)需離開(kāi)辦公桌即可參與，一般適用于分享安全提示、進(jìn)行問(wèn)答等簡(jiǎn)單的安全活動(dòng)。

（2）與安全主管共進(jìn)午餐

與安全管理人員一起舉辦午餐會(huì)是向特定受眾傳達(dá)關(guān)鍵信息的簡(jiǎn)單且有效的方式，從另外一個(gè)層面看，真人討論也能提升員工的參與度。

（3）行業(yè)專家現(xiàn)場(chǎng)培訓(xùn)

邀請(qǐng)外部行業(yè)專家（執(zhí)法部門或?qū)I(yè)公司）進(jìn)行現(xiàn)場(chǎng)演示，為觀眾提供與安全行業(yè)領(lǐng)袖和從業(yè)者互動(dòng)的機(jī)會(huì)。邀請(qǐng)的行業(yè)專家可以通過(guò)講故事分享真實(shí)的信息和經(jīng)驗(yàn)，讓整體內(nèi)容更加有趣，更能吸引觀眾。

方法三：增加安全專家的出鏡率

（1）拍攝短視頻

企業(yè)內(nèi)部安全專家可以嘗試針對(duì)特定主題來(lái)拍攝一些小視頻，每次講解一個(gè)問(wèn)題并提供解決方法，清晰、有意識(shí)地傳達(dá)消息，拉動(dòng)員工與企業(yè)內(nèi)部安全人員的距離。增強(qiáng)安全專家的出鏡率有助于提升員工對(duì)專家的熟悉度，從而增加視頻的點(diǎn)擊率和未來(lái)線下會(huì)議的參與率。這些視頻可以存放在內(nèi)網(wǎng)主頁(yè)的某個(gè)固定區(qū)域。

（2）專門的溝通郵箱

企業(yè)可以在內(nèi)部設(shè)置一個(gè)專門用于安全問(wèn)題的郵箱，保持與員工的持續(xù)溝通渠道，提供必要的信息交流。該郵箱可用于解答安全問(wèn)題或提供反饋。郵箱管理人員可以將問(wèn)題與解答定時(shí)上傳至企業(yè)內(nèi)部的常見(jiàn)安全問(wèn)題與解答頁(yè)面。這種方式不用與人面對(duì)面交流，是一種低投入的互動(dòng)形式，對(duì)于部分員工可能更有吸引力。

（3）布置安全專家的工位

可以將安全專家的工位布置得更加開(kāi)放，增加飲食供應(yīng)和舒適的座椅等，從形式上鼓勵(lì)員工坐下來(lái)與安全專家聊一聊，在舒適的環(huán)境中員工會(huì)更愿意發(fā)言并提出一些關(guān)鍵問(wèn)題。除了被動(dòng)接受員工的咨詢外，也可以主動(dòng)發(fā)送座談邀請(qǐng)。

（4）寫博客

寫博客是一種增加長(zhǎng)期關(guān)注者的方式，還能鞏固安全專家在相關(guān)領(lǐng)域的權(quán)威性。寫博客建議不要高瞻遠(yuǎn)矚，最好的方式是“保持真實(shí)”，要有故事、有細(xì)節(jié)，增加員工的代入感，有助于建立長(zhǎng)期聯(lián)系，推進(jìn)員工安全意識(shí)的培養(yǎng)。博客篇幅不必很長(zhǎng)，在講清事情的前提下越短越好。

方法四：讓員工多多參與

（1）攝影比賽

企業(yè)可以通過(guò)一些活動(dòng)從側(cè)面推進(jìn)員工安全意識(shí)的培養(yǎng)。比如舉辦攝影比賽，流程比較簡(jiǎn)單，用戶體驗(yàn)也很友好，能夠接觸和吸引各個(gè)部門的員工。攝影比賽可以圍繞安全主題設(shè)定比賽目標(biāo)和規(guī)則，讓員工提供能夠表現(xiàn)安全的照片。企業(yè)高管參與可以大大提升活動(dòng)的影響力，也可以表現(xiàn)高管對(duì)于安全的重視程度。此外，此類活動(dòng)的宣傳力度要廣要大，除了群發(fā)電子郵件這種公共方式之外，還可以通過(guò)管理層通道在開(kāi)例會(huì)時(shí)進(jìn)行重點(diǎn)強(qiáng)調(diào)。當(dāng)然，獎(jiǎng)品的好壞也直接決定了活動(dòng)能夠吸引到的人數(shù)和質(zhì)量。

（2）安全小站

安全小站的形式是一個(gè)公共的展示和互動(dòng)區(qū)域，提供部分經(jīng)過(guò)處理的數(shù)據(jù)圖表讓員工直觀地看到安全態(tài)勢(shì)，如果能夠提供模擬安全攻防的互動(dòng)項(xiàng)目或者小游戲那就更好了，比如看到勒索軟件在電腦上肆虐時(shí)該如何進(jìn)行適當(dāng)?shù)难a(bǔ)救，高互動(dòng)的形式能夠讓參與者更加投入來(lái)解決安全問(wèn)題。

（3）攻防競(jìng)賽

根據(jù)企業(yè)的自身情況，在嚴(yán)格限定范圍和手段的情況下開(kāi)展一系列網(wǎng)絡(luò)攻防競(jìng)賽。比如針對(duì)企業(yè)員工面臨的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)———釣魚(yú)郵件，開(kāi)展競(jìng)賽。比賽可分為攻擊者和防御者，攻擊者對(duì)防御者進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，而防御者要在處理海量的郵件時(shí)避免踩坑，成功次數(shù)最多的攻擊者和踩坑最少的防御者均能獲得企業(yè)的獎(jiǎng)勵(lì)。要注意競(jìng)賽的手段和分寸，明確與企業(yè)正常業(yè)務(wù)的邊界。

（4）將安全延伸到私人時(shí)間

可以讓員工攜帶不再使用、準(zhǔn)備丟棄的老舊設(shè)備到公司，由安全專家說(shuō)明和指導(dǎo)如何抹去個(gè)人信息，消除丟棄或者轉(zhuǎn)賣時(shí)造成的安全風(fēng)險(xiǎn)，以后在處理客戶或者企業(yè)的數(shù)據(jù)時(shí)也該采取相同的行動(dòng)。

方法五：正面激勵(lì)

（1）正面反饋員工的進(jìn)步

當(dāng)企業(yè)高級(jí)管理層看到員工在保障企業(yè)安全做出的努力和成果時(shí)，可以通過(guò)頒發(fā)獎(jiǎng)狀、留下手寫消息卡片、通過(guò)電子郵件發(fā)送感謝信或提供禮品卡來(lái)獎(jiǎng)勵(lì)員工，感謝他們的安全行為，加強(qiáng)員工在企業(yè)安全建設(shè)過(guò)程中的主觀能動(dòng)性。

（2）建立積分規(guī)則

建立積分規(guī)則的目的是推行長(zhǎng)期的獎(jiǎng)勵(lì)計(jì)劃，該計(jì)劃向員工授予可用在企業(yè)內(nèi)部商店或者外部供應(yīng)商處購(gòu)買商品的積分。這種持續(xù)的獎(jiǎng)勵(lì)系統(tǒng)能夠不斷激勵(lì)員工，構(gòu)建長(zhǎng)期的安全意識(shí)，表達(dá)對(duì)員工感謝。

（3）給予虛擬的勛章

如果企業(yè)的內(nèi)部通信或者協(xié)作軟件支持虛擬勛章或者自定義頭像，可以給予積極參與企業(yè)安全建設(shè)的員工開(kāi)通虛擬安全勛章。雖然這種形式并不能給員工帶來(lái)任何實(shí)際的獎(jiǎng)勵(lì)，但是可以推動(dòng)安全意識(shí)的發(fā)展。

（4）與CEO共進(jìn)午餐

員工與CEO或其他高級(jí)管理人員面對(duì)面相處的時(shí)間可能很少。企業(yè)可向員工提供與CEO或平時(shí)比較少見(jiàn)的管理層人員共進(jìn)午餐的機(jī)會(huì)，以表明高層對(duì)于安全建設(shè)的重視?？梢酝瑫r(shí)邀請(qǐng)數(shù)名員工共進(jìn)午餐，不設(shè)置任何正式議程，員工可以提出問(wèn)題并了解企業(yè)領(lǐng)導(dǎo)和其他情況。

（5）提拔做得好的員工

業(yè)務(wù)負(fù)責(zé)人可以在企業(yè)安全建設(shè)中表現(xiàn)好的員工提拔至安全運(yùn)營(yíng)領(lǐng)導(dǎo)者的角色，賦予業(yè)務(wù)流程中的更多的安全話語(yǔ)權(quán)并加強(qiáng)其領(lǐng)導(dǎo)力。企業(yè)可以將這一環(huán)節(jié)添加到KPI考核機(jī)制中的加分部分，在晉升評(píng)定中給予看得見(jiàn)的積極反饋，并在企業(yè)內(nèi)部通報(bào)結(jié)果，為員工參與安全建設(shè)添加更多動(dòng)力。

方法六：保持頭腦清醒

（1）安全日歷

通過(guò)電子郵件、海報(bào)、內(nèi)網(wǎng)消息或上文中提到的內(nèi)網(wǎng)橫幅等渠道定期推送的簡(jiǎn)短安全提示，通知目前流行的安全威脅和公司可能面臨安全事件。與公司內(nèi)部的數(shù)字營(yíng)銷團(tuán)隊(duì)合作，通過(guò)點(diǎn)擊率了解數(shù)字流量和員工的關(guān)注度。

（2）梳理談話要點(diǎn)

安全專家為管理人員制作備注清單，用在團(tuán)隊(duì)會(huì)議中加強(qiáng)安全信息內(nèi)容部分，安全建設(shè)的核心內(nèi)容應(yīng)當(dāng)保持一致，但每位團(tuán)隊(duì)管理者可以根據(jù)各自團(tuán)隊(duì)文化進(jìn)行自定義。

（3）假想練習(xí)

團(tuán)隊(duì)領(lǐng)導(dǎo)在內(nèi)部會(huì)議期間提出一些安全威脅的假象情況，讓大家一起討論。通過(guò)傾聽(tīng)對(duì)話，可以判斷團(tuán)隊(duì)是否理解他們?cè)诒Ｗo(hù)企業(yè)安全方面的責(zé)任，并且在他們識(shí)別問(wèn)題時(shí)提供額外的幫助和培訓(xùn)。這種方法也是促進(jìn)合作思維的好途徑，使得員工在安全的群體環(huán)境中表達(dá)想法和落實(shí)行動(dòng)。