呼,快接近尾聲了,前幾天都有提到人或組織,接下來就談談對人的溝通吧,我會分成上/下/內/外四個面向來簡述,今天要談的是對公司內的同仁/使用者的資安意識提升。
要先知道,企業內的使用者對資訊/資安的認知可能停留在"聽過"但不知道那是啥的狀態,請先想像今天有個朋友跑來跟你說:
ㄟ老王,我們要一起做核安! 核安阿,核能安全啊
蛤?我們為何要在意核安?核安是電廠的事啊 (滿臉疑問)
又或是用了不對的方式說明資安這件事,都會招致反效果。
我們啟動大內宣的核心目的,是在提升全體人員的資安意識,從上到下,從行銷/財務部門到製造/倉儲班。
跨了這麼多元的單位和階層,在準備時我們必須具備翻譯成說白話文的能力,轉化成以下特性的語言,以利多數人都能接受和看懂:
有了上述的內容轉化後,我們就來實施以下的內容:
建議是每個月至少發一次,猶如衛教資訊般,把應注意事項、公司資安規定貼上去,或是搭配海報,張貼於公司電子公告中,每個月可以換不同的主題,例如一月公告是談郵件安全,二月公告端點安全,讓公司同仁每個月都看到不一樣的資訊。
此類宣導通告則是當有重大資安事故新聞(Ex:wannycry全球流行/台積事件...etc)出來時,或是FW/SPAM/IPS等系統近期測得資安攻擊異常升高,藉由這些事件的出現發出宣導通告,讓同仁於短期內提高警覺戒備,借鏡他人以免成為下一個受害者。
這兩年由於政府積極推動資安,打出"資安即國安"的口號,沒記錯得畫公務員每年至少有3小時的教育訓練,企業也可比照,將所有人召集於會議室/訓練室,或是藉由共識營等活動進行三小時的資訊安全教育訓練,內容包含公司的資安政策/措施宣導、預防性觀念輸入、安全的操作行為、異常時緊急動作以及疑問聯絡窗口...等。
出席者務必簽名並且完成考試,這樣的紀錄對於公司營運合規稽查時很有幫助。
上面說了這麼多宣導的實施,總不能讓他們聽聽就忘了。社交工程演練就是一個很好的驗證工具,透過不定時的演練可以測得哪些是高風險(都沒在聽課/防範)的人員,演練也可讓企業同仁實際感受風險跑到面前的真實感,非常有效。
做社交工程釣魚信演練,強力推薦一個工具,免費的:趨勢科技 Phish Insight ,藉由裡面的範本可以快速對公司發送一波演練信件並產出統計數據。
(圖片引用自安資捷)
【懸首示眾】【殺雞儆猴】這個千年老方法,放到了今日仍然很有用的。每當宣導發了幾百回、說破嘴跑斷腿仍然會有內部員工違規,這時候把違規的人、事、時、地、物列舉出來,並搭配管理辦法中的獎懲條例,公告處分。當然,為了避免傷了皇城內的河蟹,使得流動率上升,違規提報的力度可以依公司文化有所拿捏。
最後,大內宣不僅是一般的政令宣導,也可以是很生動有感有共鳴的傳達知識,而且透過這些宣傳手法,全公司上下將會知道我們是真的把資安當作一回事,後續政策措施推動起來將更能借力使力。