iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 26
0
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 26

皇城大內宣: 持續對內的宣達與教育訓練(向內)

呼,快接近尾聲了,前幾天都有提到人或組織,接下來就談談對人的溝通吧,我會分成上/下/內/外四個面向來簡述,今天要談的是對公司內的同仁/使用者的資安意識提升。
https://ithelp.ithome.com.tw/upload/images/20201010/201297550gPQkWNaHL.png

要先知道,企業內的使用者對資訊/資安的認知可能停留在"聽過"但不知道那是啥的狀態,請先想像今天有個朋友跑來跟你說:

ㄟ老王,我們要一起做核安! 核安阿,核能安全啊
蛤?我們為何要在意核安?核安是電廠的事啊 (滿臉疑問)

又或是用了不對的方式說明資安這件事,都會招致反效果。
https://ithelp.ithome.com.tw/upload/images/20201010/20129755VrfNGIWetK.png

我們啟動大內宣的核心目的,是在提升全體人員的資安意識,從上到下,從行銷/財務部門到製造/倉儲班
跨了這麼多元的單位和階層,在準備時我們必須具備翻譯成說白話文的能力,轉化成以下特性的語言,以利多數人都能接受和看懂:

  • 1.【淺顯易懂】:請暫時放下那些專業術語,用較為口語的方式,把深具專業的事情說得讓外行人一看就懂、栩栩如生,大內宣的效果將事半功倍。
  • 2.【利他視角】:如同上面說:資安關我啥事,人們對於跟自己沒關的事情都會略過,因此找出各項資安措施推行時的利害關係,讓他知道這個跟自身是切身相關,就會認真看待。
  • 3.【時事參考】:如果剛好有時事議題(ex:x油/x塑/台x電)不妨借力使力,用一個借鏡和反思的角度來強化對資安認知。
  • 4.【明確定義】:企業內同仁對於陌生的東西,初次接觸最好明確的定義OK/NG的參考例子,如同考試中是非題永遠比選擇題/申論題容易,把要宣傳的事情中"允許"/"不允許"定義好將有助於同仁理解。

有了上述的內容轉化後,我們就來實施以下的內容:

一、週期性宣導通告

建議是每個月至少發一次,猶如衛教資訊般,把應注意事項、公司資安規定貼上去,或是搭配海報,張貼於公司電子公告中,每個月可以換不同的主題,例如一月公告是談郵件安全,二月公告端點安全,讓公司同仁每個月都看到不一樣的資訊。

二、時事型宣導通告

此類宣導通告則是當有重大資安事故新聞(Ex:wannycry全球流行/台積事件...etc)出來時,或是FW/SPAM/IPS等系統近期測得資安攻擊異常升高,藉由這些事件的出現發出宣導通告,讓同仁於短期內提高警覺戒備,借鏡他人以免成為下一個受害者。

三、定期資安教育訓練

這兩年由於政府積極推動資安,打出"資安即國安"的口號,沒記錯得畫公務員每年至少有3小時的教育訓練,企業也可比照,將所有人召集於會議室/訓練室,或是藉由共識營等活動進行三小時的資訊安全教育訓練,內容包含公司的資安政策/措施宣導、預防性觀念輸入、安全的操作行為、異常時緊急動作以及疑問聯絡窗口...等。
出席者務必簽名並且完成考試,這樣的紀錄對於公司營運合規稽查時很有幫助。

https://ithelp.ithome.com.tw/upload/images/20201010/201297555MefkUfJbf.png

四、防釣魚詐騙演練

上面說了這麼多宣導的實施,總不能讓他們聽聽就忘了。社交工程演練就是一個很好的驗證工具,透過不定時的演練可以測得哪些是高風險(都沒在聽課/防範)的人員,演練也可讓企業同仁實際感受風險跑到面前的真實感,非常有效。
做社交工程釣魚信演練,強力推薦一個工具,免費的:趨勢科技 Phish Insight ,藉由裡面的範本可以快速對公司發送一波演練信件並產出統計數據。
Phish
(圖片引用自安資捷)

五、違規提報

【懸首示眾】【殺雞儆猴】這個千年老方法,放到了今日仍然很有用的。每當宣導發了幾百回、說破嘴跑斷腿仍然會有內部員工違規,這時候把違規的人、事、時、地、物列舉出來,並搭配管理辦法中的獎懲條例,公告處分。當然,為了避免傷了皇城內的河蟹,使得流動率上升,違規提報的力度可以依公司文化有所拿捏。

最後,大內宣不僅是一般的政令宣導,也可以是很生動有感有共鳴的傳達知識,而且透過這些宣傳手法,全公司上下將會知道我們是真的把資安當作一回事,後續政策措施推動起來將更能借力使力。


上一篇
不可或缺的組合:資安推動組織成員
下一篇
動員大外宣: 拉供應商/合作夥伴一起提升(向下)
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2020-10-11 04:19:50

宣導宣導再宣導!

我要留言

立即登入留言