旨在提高公民社会组织安全意识项目的行动项目列表。
当我们被要求做一个主题演讲时CSO事件,这是一个令人惊喜的是,民间社会组织的最关心的是“安全文化”。从执行许多安全评估和渗透测试,这是可悲的是显而易见的,如果他们的公司有一个弱安全文化再好的技术安全性的努力将失败。这是温馨的民间组织现在正在过去直技术解决方案和对灌输一个强大的安全文化,以及移动。
[也:2012年最糟糕的安全混乱]
为了确定一个真正成功的安全意识程序的组成部分,我们进行了一项研究,以确定建立一个安全意识程序的关键成功因素。我们采访了财富500强公司的安全意识从业者,并对这些公司的安全人员和一般员工进行了调查。此外,我们在英国的一个有150多名安全主管参加的安全执行活动上验证了结果并收集了额外的信息。
虽然还有更多的教训需要学习,以下是我们发现的导致安全意识项目成功的7个最值得注意的习惯。
对比:“为什么你不应该为培养安全意识的员工戴维·艾特尔(Dave Aitel)撰写。
1.c级支持
获得c级支持的认知项目更成功。这种支持必然会带来更大的自由、更大的预算和其他部门的支持。任何负责运行安全意识程序的人都应该在关注其他事情之前,至少首先尝试获得强有力的支持。
是的,获得这个级别的支持是很困难的,但我们的研究还发现,如何获得这种支持的最佳实践。成功的努力经常强调,被要求遵守安全意识,这种意识的努力提供的投资回报,将不可避免地为公司节省开支。他们还创建了专为上层管理的特殊材料,如通讯和突出相关的新闻和那名特定高管提示短文章。
2.建立伙伴关系具有重要部门
成功的意识项目找到了让其他部门参与进来的方法,比如法律、合规、人力资源、营销、隐私和物理安全。如果你有c级的支持,就更容易得到这种支持,但是这些部门通常有共同的利益,并且可能愿意提供额外的资源,比如资金或分配。通常情况下,这些部门会强制提高安全意识。例如,法律和法规遵循部门在整个组织中具有很大的影响,并且可以使安全意识成为其他流程(如新员工灌输)的必要组成部分。
为了获得这些支持,你可能会发现,你必须纳入合作部门的需求与一般的安全意识的努力。例如,你可能会建议你可以使用一个安全意识的通讯,包括合规性的内容。如果它获得您所需要的支持,努力绝对是值得的麻烦。
3.创意
创新是必须的。虽然大量的预算帮助,公司以一个小的安全意识预算至今仍然在能够建立成功的方案。创造力和热情可以弥补一个小预算。创新的实例包括公司事件中使用的安全立方体。安全意识部门设置一个模拟开关柜,用10个常见安全违规,在主走廊。谁可以识别所有10名违规员工抽奖中被输入。另一个工作包括发放巧克力,其中包括安全策略文件,在情人节的箱子。员工报告说,他们感到不得不阅读文档,因为他们喜欢巧克力。这些只是例子,但显然也有选项的数量不受限制。
4.指标
一个在具有成功的努力的关键因素是能够证明你的努力是成功的。要做到这一点的唯一方法是收集之前开始新的宣传力度指标。无需基线,这是很难证明你的努力也比预计的成功更多。
度量标准可以包括对态度的调查。他们还可以包括使用钓鱼模拟工具,包括前后意识培训。您还可以检查与安全相关的事件的数量,例如试图访问被禁止的网站。当您可以在安全性的任何方面显示可衡量的改进时,您就可以证明您的项目是合理的,并获得额外的资金和支持。公司的每个部门都必须证明自己的价值,而安全部门不应成为例外。
5.部门的
关注于如何完成行动的努力比那些关注于告诉人们他们不应该做某事的努力更成功。显然,有些行为是不允许的,但这些应该是例外,而不是规则。例如,你告诉员工他们不应该上社交网络是不现实的,但如果你告诉他们如何安全地上社交网络,这对他们是有用的。
6.90天计划
大多数安全意识方案遵循了为期一年的计划。这些计划还试图一个月来覆盖一个话题。这是无效的,因为它不巩固知识,并且不允许反馈或账户正在发生的事件。这依赖于90天的计划,并重新评估程序和它的目标,每90天课程,是最有效的。最成功的方案侧重于同时3个主题,在整个90天定期加强。每隔90天,程序重新评估,以确定主题所需要的前进加以解决。
7.多通道感知材料
最成功的节目不仅是创造性的;他们依赖于许多形式的感知材料。虽然学习管理系统培训模块有一个潜在的位置,但太多的项目完全依赖它们作为一个意识项目。成功的程序包含了各种各样的感知工具。这包括时事通讯、海报、游戏、新闻订阅、博客、仿冒网络钓鱼等。最有参与性的努力似乎取得了最大的成功。
另一个需要考虑的问题是,材料应该尝试与不同的世代相联系。例如,一些视频似乎最适合年轻的雄性。然后你需要使用其他视频或材料来联系年长的员工和女性。绝对不存在“一种规模”的安全意识。
结论
有更多的生活习惯导致的安全意识计划成功或失败,但这些都是一个起点,以你应该开始的位置。大外卖的是,习惯开车的安全文化,没有技术,将永远弥补安全文化差。宣传方案,正确执行时,提供知识灌输的行为。安全性绝对应该是常识,但你不能有常识,而不提供常识。
任何有兴趣下载完整研究报告的人可以在ISAG.com。
阅读更多关于安全意识的内容在CSOonline的安全意识部分。
这个故事,“一个成功的安全意识计划的7个要素”最初是由方案 。