昨天分享和主管的對話,列出員工資安意識教育的優點,其實並非每間公司企業都有經費與人力成立資安團隊或CERT/CISRT Team,可能靠本身MIS部門應付各種事件,如果提升內部員工資安意識,一來減少資安事故發生,二來藉由員工本身在同部門互相宣導,遠比MIS緊迫盯人來得迅速有效。身為分析師Analyst,藉由比對培訓簽到表和MIS 紀錄,我發現幾輪員工資安教育後,勤於參與員工資安教育的部門達到以下效果:
也因為這個「讓大家一起打造安全使用環境」的策略成效良好,主管希望能擴大到全公司所有部門,開會討論後定下幾個執行目標:
鑒於這些目標無法光靠培訓簽到表與EXCEL就可以達成,我決定尋找一套合適的數位學習管理平台 (Learning Management System)。因為是數位學習平台(LMS),手機電腦和平板都能開啟,以前總有些人抱怨沒時間參與員工資安教育,現在無論何時何地都可以開始,或從之前暫停的部分繼續,而且每段課程只有5-10分鐘,內容生動活潑,簡單趣味,有影片、有互動、有測驗,還有遊戲;LMS 可以記錄完成進度,輕鬆地叫出報表掌握什麼部門那幾位員工尚未完成,甚至測驗分數,我們把它做成類似「部門對抗賽」的活動,每次在公司內網列出「最快完成的部門」、「分數最好的部門」等等,鼓勵大家多重看內容重做幾次測驗提高分數(當然測驗題目每次都不一樣)。
我用的LMS名字和袋熊有關,還有Phishing Simulator功能,向公司員工發送測試的釣魚郵件,從報表上掌握誰點擊郵件、誰開啟附件,並自動發送訊息幫該名員工加一堂關於電子郵件安全的課程。如此將員工資安教育數位化、自動化、趣味化,我就可以將時間安排在下一個專案計畫上啦~
*截圖來自網路
「這雖然是遊戲,但可不是鬧著玩的。」--茅場晶彥《刀劍神域》
你有使用LMS的經驗嗎?有測試過什麼平台呢?你們公司有用LMS進行資安(或其他領域)的培訓嗎?歡迎留言分享。
補充一下:我沒有直接說出LMS名稱,避免幫它打廣告的嫌疑。這篇是以自己使用該產品的經驗分享,但是我之前測試、詢問過的LMS都有類似功能。有興趣的邦友可以去Gartner查詢幾家主要的LMS廠商。