我住在奥斯汀, 德州, 美国, 哪里的保险杠贴纸商相当高, 尽管从达拉斯来的每辆车都在减少(无意冒犯), 达拉斯-我的车也没有保险杠贴纸). 我最喜欢的一句话是:“如果你不感到震惊,那你就没有注意到.”
我敢肯定,这篇文章是出于政治考虑而写的,但它也绝对与网络安全相关. 大多数安全专业人士——包括我在内——都记得我们感到震惊的那段时间, 紧随其后的是成为解决方案的一部分的愿望.
我看到一堆安全意识材料. 为了达到效果,这些材料的制作者依赖于一群目瞪口呆的观众. 恐惧、不确定和怀疑往往为那些寻找捷径的人提供了一条“捷径”.
“如果你明白这有多重要, 以及世界上那些真正的坏人所做的坏事, 你会停止阅读这个海报/电子邮件/培训模块和更改你的密码/使用密码库/启用MFA现在.”
问题是, 人们只是暂时感到震惊, 在令人震惊的泄密新闻消失后, 他们不再关注了.
当考虑到消费者信息和广告的世界, 我们被引导去相信幽默, 乐观和目标感是比恐惧更能激发行动的杠杆. 让我们来看看三种常见的安全意识谬误,以及我们如何改进我们的沟通方式,以引起人们的注意并创造积极的影响, 参与宣传活动, 而不是震惊和敬畏.
意识谬误和纠正控制
你没看我的邮件/政策/标准吗? 人们整天被来自各种媒体——电子邮件——的信息轰炸, TV, 广告牌, Facebook和Twitter. 他们无法逃避. 我曾在一些公司工作,那里的员工每天都会收到200封电子邮件. 由于噪音太大,人们无法阅读和智能处理他们收到的每封电子邮件. 他们阅读或略读他们认为重要的内容. 他们关注的是自己的优先事项,而不是别人的. 纠正性控制: 用多个渠道反复说同一件事. 并不是每个人都在阅读所有内容, 所以使用电子邮件, 海报, 社交媒体, 视频, 图形, 活动和更多,让您的信息在每个可用的媒体渠道.
直至并包括终止. 你不能威胁你的员工,让他们养成安全的文化. 创造一种文化很像创造一个品牌——你可以影响它, 但你永远无法完全控制它. 一个品牌存在于每一个选择参与其中的人的心中. 人们必须想要参与其中——你不能强迫他们. 遵从性至关重要, 当你分配强制性培训或撰写政策时,也有时间使用“直到并包括终止”这样的语言. 但如果你在安全意识材料中使用这种威胁语言, 你应该意识到,这与创造一种人们愿意接受的文化是背道而驰的. 纠正性控制: 我认识很多培训和意识管理人员(我就是其中之一),他们只负责合规计划的一小部分, 但其余的都是可选的. 这需要你善于吸引人们参与进来,成为新文化的接受者. 在组织中找出那些早期和急切的采用者,并让他们帮助传播信息.
人的防火墙,最薄弱的环节,最终用户. 太多的安全通信都是用非常不吸引人的术语来指人——我们怎么能责怪他们没有注意到呢? 我寻找了一个成功的消费者信息宣传活动的例子,它指导人们更像科技, 而不是说明技术如何为人类服务. 我没有找到,这可能是件好事. 纠正性控制: 使用授权的语言. 传授能让人变得更好的信息——而不是人的因素、防火墙、链接或用户.
想想你的公司文化,以及你目前对这些常见谬论的处理方法. 你的安全意识训练车上那些可怕的保险杠贴纸,你可以拿刀片来清理一下. 取而代之的是积极向上、引人入胜的信息,这些信息具有教育和赋权的作用.
编者按: 有关此主题的更多见解, 下载ISACA和Infosec联合发布的白皮书.
