我们国家每年9月份第三周是网络安全宣传周,欧美每年10月份一整月是网络安全意识月,尤其是在美国,自2004年第一届活动开始,网络安全意识月已经走过了20个年头。而重视网络安全文化的企业,每年都会借此机会,集中力量开展声势浩大的网络安全宣传阵势,从6月份左右就开始陆续筹备活动、策划方案、寻找合适供应商。

但网络安全日/周/月活动的投入产出比如何?到底值不值得投入预算、人力、资源搞一场线上+线下活动?员工冲着活动礼品而来还是真心关注安全?哪些活动内容是有效的,哪些是在做无用功?活动对于提升员工安全意识,改善员工的风险行为有多大帮助?对整个安全团队目标和企业经营目标能带来多大积极影响?这些问题也是企业安全团队经常面对的一些困惑,尤其是在企业经营效益下滑、安全预算收紧的情况下,说服上级领导与财务部门审批一场活动经费,并没那么容易。

网络安全意识厂商Cybsafe近期发布了一份研究报告~《谁在乎网络安全月》,该报告结果基于面向1000多位欧美地区职场人士的问卷调研,分析了企业员工关于网络安全意识月活动的认知、观点和实践做法,揭示了一些有趣的真相和趋势,值得参考。

该报告的核心结论是:网络安全意识月活动对于改善组织内的安全行为具有重要作用,但需要得到组织各个层级的支持和参与,需要更多的宣传来提高其影响力。除了传统的培训和教育活动,组织还可以采用以下多样化方式来提高员工的网络安全意识:

  1. Webinars (网络安全研讨会):通过在线研讨会的形式,向员工传授网络安全知识和技能。

  2. In-person training sessions and workshops (面对面培训和研讨会):组织面对面的培训和研讨会,让员工亲身参与并学习网络安全知识。

  3. Live web-based training sessions (在线实时直播培训):通过在线平台进行实时培训,让员工随时随地学习网络安全知识。

  4. Quizzes andgames (安全测验和趣味小游戏):设计网络安全相关的小测验和小游戏,以增加员工对网络安全的兴趣和参与度。

  5. Guest speakers (邀请外部演讲嘉宾):邀请外部专业人士或行业专家来进行演讲,分享网络安全的最新趋势和实践经验。

  6. Competitions or challenges(知识竞赛或挑战):组织网络安全相关的知识竞赛或挑战活动,激发员工的学习兴趣和积极性。

  7. Newsletter/email information (电子通讯或邮件信息):过定期发送内部电子通讯或邮件,向员工提供网络安全的相关信息和建议。

  8. Circulation of relevant research (传播相关研究成果):传播与网络安全相关的研究成果,让员工了解最新的网络安全趋势和最佳实践。

  9. 。。。。。。

这份调研报告让作者眼前一亮的有两点:其中一点是,网络安全意识月活动的个性化与定制化。根据不同的员工角色、学习特点和需求,定制适合不同群体的网络安全月活动,使网络安全活动更加个性化,从而提高活动的主动参与率,而不是被动应付式参与,而我们以往的活动往往是面向所有员工一刀切式的、无差别式的活动,员工的参与积极性并不高。另外一点是,网络安全意识月活动应以关心员工个人利益为出发点,以激励与认可员工为发力点从调研结果来看,促使员工关注安全月活动的一个最大因素是激励与奖励(incentives or rewards),可以是物质激励(礼品),也可以是精神激励(徽章、证书等),让员工看到参与安全活动的短期和长期个人收益,这种表彰与认可可以是基于单项或整体活动表现,也可以是基于员工的日常表现或突出贡献,在安全日/周/月活动期间进行集中表扬。另外,从安全知识学习层面,促使员工参与安全月活动的最大动机是学会如何保护员工自身的个人信息,其次才是如何保护组织的信息安全,也就是说,员工最关心的还是个人利益。所以建议,安全月学习内容层面,应增加更多的有关保护家庭网络安全、生活中网络安全的话题,而不是片面地认为这些内容与保护组织网络安全无关。

该报告部分精彩内容摘要如下,完整版报告请请加入下方微信获取:

声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。