随着信息安全技术的蓬勃发展,各个厂家推出了很多功能齐全的产品,金融企业也热衷于使用技术产品来进行防护,但是“技防”永远无法完全取代“人防”的作用,往往花费大量经费建设了很多系统,很大程度上抵挡了从企业外部发起的安全攻击,但对于因内部人员安全意识薄弱而导致的有意或无意的信息泄密,却很难完全避免,所以需要在严格的管理流程、严密的技术控制基础上,形成体系化的安全培训机制,提升内部人员的安全意识水平,才能达到综合化、一体化的防范效果。
安全意识就是“对风险的感知和主动规避”。在个人信息安全意识方面,企业员工普遍有一种“迷之自信”,就像90%的司机都认为自己的驾驶水平高于平均水平一样。但实际上,企业员工的安全意识水平与企业的真实需要之间,往往存在着巨大的鸿沟。
我们来看几个因为信息安全意识不足,导致金融企业直接损失或面临重大声誉风险的真实案例。
2012年央视3·15晚会,曝光了一家大型商业银行、一家全国性股份制银行的内部员工,通过中介向外兜售客户个人信息将近3000份,造成3000多万元经济损失的严重事件,对银行的声誉也造成了严重的负面影响。
从表面上看,是商业银行内部员工直接获取客户资料并用于牟利。但究其原因,是商业银行对客户敏感信息的管控要求松懈,员工保密意识、法律意识淡薄。此外,商业银行的数据保密措施及要求存在漏洞,内部员工可以获取大量的客户敏感信息,容易造成有意识(贩卖数据)或无意识(未做好数据保密措施导致数据丢失)的保密信息泄露事件发生。
某年某月,某金融机构工作人员因管理疏忽,不慎遗失了一份本机构交易系统的密钥,如不法分子拿到该密钥,即可截获破解所有交易信息和客户交易密码,给客户造成重大损失。该机构领导接到报告后,立即指示启动密钥更换工作并在最短的时间内完成,避免了客户资金损失;业务风险防范预案也相应启动,避免了因客户资金损失投诉、媒体舆情报道等带来的声誉风险。
虽然该事件最终没有造成实质性的损失,但潜在的风险隐患和内部付出的管理成本是巨大的。
2014年,总部位于美国的某全球知名银行,其高级管理人员为方便工作,开通在家VPN访问内部敏感数据的权限。黑客在攻击该银行的过程中发现该情况并马上在该高级管理人员的家用电脑上植入木马。通过遥控该木马,黑客实现“青蛙跳”进入银行内网,成功窃取了1.4亿个客户的信息,给该银行造成了巨大的损失。
2013年,韩国某银行的某员工误打开一封黑客钓鱼邮件并被植入木马,因该行并未限制办公电脑对互联网络的访问,黑客立刻远程遥控该员工电脑并相继攻破部分客户服务系统,在获取海量客户数据后格式化大部分服务器硬盘,造成该行业务完全瘫痪。
2014年,某金融企业的部分员工收到了一封来自“Admin”发出的邮件,自称是OA系统的管理员,因为系统升级,需要大家修改用户名和密码,邮件中同时附上了一个网页链接,点击进去后出现用户名、原密码、新密码的输入框。由于该金融企业采用域用户单点登录OA系统和其他内部信息系统,所以该事件造成了几十个客户的域用户名和密码泄露,也就意味着伪装成OA系统管理员的攻击者获取了几十个员工的域用户名和密码,可以登录桌面终端和几乎所有的内部应用系统。幸好该事件在半天内被发现,该金融机构信息技术部门迅速采取行动,通知所有登录过该链接的员工主动修改密码,阻止了后续攻击事件,避免给企业造成实质性损失。
2016年,某金融企业信息科技部门突然收到财务总监(CFO)的电话,其办公电脑突然变成蓝屏,上面有一些英文提示,大意是该电脑中的所有资料已经被加密,需要在五天之内向某国外银行账号缴纳大约相当于人民币6000元的赎金,就可以拿到解密的密钥。
后来查明,该财务总监曾收到过一封标题类似“应收账款”的邮件,以为是供应商催款,但在点击执行附件后,屏幕就不幸中招了。由于缴纳赎金后是否能解决问题尚且是个未知数,该财务总监只好忍痛割爱,让科技人员重装了电脑操作系统,该电脑上所有的历史资料全部丢失。
上面几个案例,都是金融企业员工信息安全意识不足导致的教训,也说明提升员工信息安全意识,减少信息安全事件的发生,对于金融企业来说多么重要。
金融行业是直接面向客户且直接与金钱打交道的行业,金融行业员工信息安全意识水平的高低,直接影响信息安全工作的成败,对客户信息和客户资金的安全至关重要。通过信息安全培训提高金融企业员工的信息安全意识水平,将全员信息安全意识的点滴提升作用到具体的工作中,可以成倍地放大信息安全工作的效果。具体来说,金融企业信息安全培训的必要性体现在三方面。
金融企业是面向广大客户提供金融服务的行业,涉及的信息主要包括:
·与客户相关的信息,主要包括客户基本信息、客户账户信息以及客户交易信息等。这几类信息都涉及广大客户的个人利益和资金安全,互相之间环环相扣,任何一类信息的泄露,都可能对客户的资金安全造成威胁并对金融企业的声誉构成风险,严重的甚至会造成金融秩序混乱、经营活动无法正常开展。因此客户信息的保护成为金融机构信息安全管理工作的重中之重。
·金融企业经营管理活动相关的内部信息,包括战略规划信息、金融产品信息、经营活动信息及相关的报表报告等。这些信息代表了金融企业工作的发展战略、管理政策和营销策略等,能为企业带来经济利益,如果泄露,可能直接或间接影响企业的商业利益,造成金融企业的严重经济损失或经营风险。
金融企业的从业人员,或多或少都会直接或间接地接触到上述内外部敏感信息。大多数信息安全事件的发生都源自于员工主动或被动地泄露信息,员工信息安全意识的提升可以极大地减少安全事件中的内部人为因素,因此金融企业对于信息安全培训必须尤为重视,每位从业人员都需要认真学习、理解、执行信息安全管理规范,提升自身的安全意识,方能切实有效地保护金融企业的客户信息和内部信息。
决定一个企业信息安全防护效果的,归根结底还是在于人,人是信息安全中最核心的问题之一。任何的安全管理体系、安全技术、安全产品或服务,都无法保证每一个人远离每一种可能存在的安全风险。因为无论多么严密的管理体系,多么先进的设备,多么严谨的系统,多么完备的数据,如果普通员工的信息安全意识不足,专业人员的信息安全技能不足,都会导致管理流于形式,设备形同虚设,数据空中楼阁。
试想,一个严密的金融机构数据中心机房访问控制系统,如果门口保安无视规则、玩忽职守,随意放人进出,那么再多的安检、门禁、指纹或人脸识别等身份鉴别手段,又有何用?部署最先进的网络安全设备,如果不定期更新安全策略和规则库,不严格对服务器或者终端打上最新的补丁,黑客们岂不是仍然可以“如入无人之境”?再者,花大价钱部署了最佳的桌面安全防护系统,但员工点击了一个钓鱼网站,主动或被动对外发送他们认为无关紧要、实则非常重要而敏感的信息,一切都将功亏一篑。
上述种种情形,都将会给企业带来不可估量的损失。特别是对将信息流和资金流视为命脉的金融企业来说,如果信息安全专业能力不到位,信息安全意识不匹配,客户信息的安全、资金的直接损失,可能是时刻面临的威胁。
因此,员工信息安全意识水平的高低,直接决定了信息安全总体防护水平和信息安全管理工作的成败。通过提升各级员工和外部用户的信息安全意识,让安全专业人员掌握必要的技能,让普通员工养成安全习惯,让外部用户建立自我保护意识,是面对安全威胁的最佳方式。而要达到该目的,就需要在整个金融企业内树立信息安全意识,对各类人员建立针对性的信息安全培训方案,才能提高金融企业的整体信息安全防控水平。
根据信息安全研究机构的统计,在所有企业的信息安全事故中,只有20%~30%是因为黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄露造成的。
另外,国内一家信息安全专业咨询机构曾经对国内企业员工信息安全意识进行了一项调查,选取了一些基本的信息安全要求对企业员工进行问卷调查,结果如下:
·37.4%的受访者会直接或者简单询问后就让尾随的外部人员直接进入办公场所。
·36.6%的受访者会在办公桌面放密级资料。33%的受访者会在电脑桌面存放密级资料。
·56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里、锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
·接近50%的受访者选择不安全的设置电脑屏保、密码方式。选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
·当收到熟人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
从以上调查结果可以看出,超过一半以上的企业员工对基本的信息安全要求没有形成相应的意识和行动,企业信息安全工作面临着极大的风险隐患。
虽然没有专门针对金融企业员工信息安全意识调查的具体数据,但从近几年金融企业客户信息泄露、信息安全攻击事件时有发生的现象来看,金融企业的信息安全意识现状也是不容乐观的。
随着金融企业对信息安全的日益重视,大部分金融企业已经投入大量的资金购买安全技术,投入较为充足的人力用于安全管理体系建设,但是,在人员信息安全培训上却投入甚少,往往忽略了人是信息安全管理的最大威胁,人的安全意识薄弱是信息安全管理的最短板。随着业务迅猛发展,金融企业面临的信息安全风险压力越来越大,必须在信息安全培训上加大投入,提升全体员工的安全意识,才可以更好地化解风险。
随着各类信息安全事件的爆发,金融企业信息安全培训的重要性已经越来越得到重视,部分金融企业开始着手信息安全培训工作,但目前仍存在一些“痛点”。
· 未建立系统化的信息安全培训体系。 大部分金融企业的信息安全培训仍是零散的、随需而做的,尚未形成整体的、有机的、立体的信息安全培训规划,缺乏系统化的信息安全培训体系。
· 培训针对性不足,培训内容不接地气。 大部分金融企业信息安全培训需求分析不到位,经常是一套培训材料就“放之四海而皆准”,不能根据培训对象面临的常见问题和岗位特点定制培训内容,导致培训内容针对性不足,经常不接地气,员工往往“知其然而不知其所以然”,对日常工作不能起到直接的、实质性的帮助,培训工作因此变成了为培训而培训。
· 培训形式单一,内容枯燥,素材匮乏,资源不足。 大部分金融机构采用单一的课堂教学方式培训,缺乏日常碎片式、体验式的素材。枯燥的培训方式自然效果不佳,因此需要创新培训形式,激发员工的兴趣和自主性,促进员工利用碎片化时间主动学习。
· 培训参与度不高。 大部分金融企业的员工都非常忙碌,如果不能正确认识到信息安全培训对他们工作的帮助作用,占用正常工作时间的信息安全培训往往变成了迫于无奈、枯燥无味的“工作任务”,培训过程就成了应付式的参与,能不参加就不参加,即使参加了也是“身在曹营心在汉”,导致培训效果大打折扣。
· 未建立培训效果的考核机制。 大部分金融企业的信息安全培训仅仅有个调查问卷或者随堂测验,未建立起有效的量化考核机制。对于培训内容是否得到执行,安全意识是否有提升,是否作用到金融机构员工的日常工作中,都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来促进培训内容的落地执行。
解决上述“痛点”,需要对症下药、因材施教,形成一套覆盖全面、形式多样的信息安全培训体系。可以参考以下步骤实施:
1)确定培训关联方,一方面明确培训对象及核心诉求,另一方面选择合适的培训师资力量。
2)确定培训内容、培训方式和培训时机。
3)建立系统化、岗位针对性强的信息安全培训体系,形成面向对象的信息安全培训矩阵。
4)建立培训效果衡量和考核体系,根据结果优化改进培训体系,形成螺旋上升的长效机制。
一个行之有效的培训体系,首先需要安排好培训的双方,一方面是培训的接收方(即培训对象),要清晰地了解不同培训对象的诉求并明确培训主题和培训重点;另一方面是培训的授予方(即培训老师),要针对不同的培训对象和培训主题合理地安排培训老师,方能起到良好的效果。
金融企业的高管、中层管理者、业务部门工作人员、信息科技人员、行政综合人员等,这些不同工作岗位的人员,由于工作职责、岗位能力要求有差异,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。
(1)金融企业高管
金融企业高管应该首当其冲地成为信息安全培训受众。原因主要有两方面:一是金融企业高管接触的信息面广、层次高、敏感信息多,而由于工作忙碌往往容易造成对信息保密的疏忽,因此常常成为“性价比最高”的重点攻击对象;二是金融企业高管接受信息安全意识培训,可以对全员信息安全意识提升起到表率作用,带动全员重视信息安全、尊重信息安全的氛围。
金融企业高管的信息安全培训,重点应该放在信息安全战略和信息安全意识宣导方面,应该帮助高管了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等,为金融企业内部推行各类信息安全和风险控制措施奠定基础。
(2)中层管理者
金融企业的中层管理人员,是“承上启下”地执行战略和政策的中坚力量,如果对信息安全理解到位,既可以很好地贯彻执行企业的信息安全战略,也可以带动基层员工们主动落实信息安全防护措施,监督措施执行到位。
中层管理人员的信息安全培训,应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面,使他们理解什么是信息安全,为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全,以及怎样做好信息安全风险防控。
(3)所有部门基层员工
基层员工是直接从事信息采集、传输、使用的人员,是信息安全政策和具体措施的执行者。由于基层员工数量众多、接触的具体信息丰富,很容易被打开突破口,成为最容易泄密的群体。
基层员工的信息安全培训,应侧重于银行信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面,目的是帮助基层员工树立信息安全保护的理念,提高合规操作和风险防范的意识,掌握具体的信息安全风险防控技能,降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。
(4)信息科技员工
信息科技部门的员工,是信息安全政策落地的核心力量,更是信息安全管理和技术措施的直接执行者和捍卫者。这个团队的信息安全水平,在很大程度上影响了金融企业的信息安全整体水平。
信息科技部门各个不同团队的信息安全培训,有不同的侧重点:
·对于开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。
·对于运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。
·对于信息安全岗员工,是信息安全培训体系的制订者和维护者,一方面应该掌握设计信息安全培训体系的方法,另一方面应接受有关监管趋势及要求、风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。
(5)外包人员
金融企业存在大量的外包工作,出于成本节约和人员编制的考虑,一方面,业务部门需要将后台集中作业流程、借记卡和信用卡申请资料录入、催收和外呼等附加值较低的工作外包给成本较低的专业团队执行;另一方面,科技部门有大量的开发任务需要外包给科技公司完成,个别金融企业还会将部分运维工作外包。外包人员可能接触到金融企业的客户信息、系统开发和设计文档等大量的敏感信息,需要接受信息安全培训。
外包人员的信息安全培训,应侧重于金融企业外包制度和流程的具体内容、金融企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面,使外包人员树立信息安全保护意识,了解信息安全行为失当导致的严重后果,提高日常工作的合规性,产生对信息安全的“敬畏之心”。
(6)外部用户
大量的事实表明,很多的风险案例是由于客户对个人客户信息(例如用户名和密码等敏感信息)保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此,加强对客户及其他外部用户的信息安全意识教育和宣传培训,显得极其重要。
外部用户的信息安全培训,应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等,甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式,让客户对信息安全保护相关内容印象深刻,引以为鉴。
综上所述:
·一个信息安全意识强的金融企业高管,可以带来更好的对内信息安全政策,对外更谨慎的信息披露。
·一个信息安全意识强的中层管理者,可以承上启下地做好信息安全防控措施的落地执行。
·一个信息安全意识强的业务人员,可以更好地保护客户信息,需求中的业务风险控制要求会提得更为充分。
·一个信息安全意识强的开发人员,可以有意识地对应用系统设计开发更合理的安全控制措施,减少应用漏洞发生。
·一个信息安全意识强的外包人员,会在数据处理或系统开发时自觉遵守金融企业的安全要求,不越权操作或泄漏敏感信息。
·一个信息安全意识强的金融企业客户,会在面临电信诈骗或钓鱼攻击时保持清醒,避免上当和蒙受损失。
信息安全培训对于金融企业各级员工、外包人员、外部客户的帮助是显而易见的,需要当作一个整体的培训体系来设计和实施。
针对不同的培训对象,培训师资的选择也应该有所区别。总体来说,有以下几种培训师资可供选择。
(1)内部信息安全人员企业内训
针对基层员工和外包人员,由企业内部的信息安全人员开展内训是较好的选择,因为信息安全人员对于本企业内部的信息安全情况了解最为深入,非常清楚应该保护的信息主要有哪些,对规章制度、主要风险心中有数,可以结合日常信息安全检查工作中发现的具体风险事件案例,剖析产生风险的原因、应对措施等,并针对操作性要求进行详细的分析和讲解,做到有的放矢。
(2)外聘讲师开展企业内训
针对企业高管、中层管理者,基于“外来和尚好念经”的原则,以及对监管趋势、同业案例更为了解的要求,外聘讲师入行培训是一个更优的选择。
在讲师的选择方面,要特别注意讲师的实际信息安全工作经验。纯理论的讲解难以深入人心,必须理论联系实际,因此最好选择曾经制定过金融行业信息安全标准、在金融企业做过咨询等工作背景的讲师,才能准确把控监管机构对金融企业和管理者的要求,以及准确选取同业曾经有过“切肤之痛”且跟企业现状最为匹配的案例。
(3)外出参与团体培训
针对信息科技部门的开发、运维和信息安全人员,适当外出参加团体性的专业类培训不无益处:一方面,可以开拓眼界,提升自身专业水平,有利于回来转训;另一方面,可以创造机会与同业交流,扩展自己的知识面和人脉资源。
要保证培训效果,培训机构的选择至关重要。由于金融行业信息安全管控标准普遍高于其他行业,因此建议选择专门面向金融类从业人员的培训机构,更为了解金融行业的特点、信息安全工作的重点以及信息科技相关监管要求等,行业内的交流也可以更加深入。
(4)聘请专业组织优化培训材料
针对金融企业的广大客户,只能通过金融企业的分支机构、电子渠道等方式触达客户,因此需要在金融企业内部人员设计的培训内容及案例的基础上,寻求一些专业的培训设计公司,对培训的形式、内容进行一定的优化,提高可读性和趣味性,确保客户能够理解培训内容,从而提高客户信息安全意识。
信息安全培训对象、师资力量确定后,就可以针对不同的培训对象,定制差异化的培训内容,利用不同的培训形式,选择适当的时机开展培训。
金融企业信息安全培训的内容可以分为专业知识、实用技能、安全意识三大类。考虑到第5章已经详细地阐述了信息安全专业人士应该掌握的知识和技能,本节重点针对非信息安全专业人士的培训内容进行分析。
(1)专业知识
对于非信息安全专业人士来说,需要掌握的信息安全知识主要包括:
·法律法规关于信息安全管理的要求。
·主要的与信息安全相关的监管要求和行业标准。
·信息安全管理体系的基本概念和管理要点。
·信息安全规章制度和流程中的重点要求。
·信息安全的基本定义(CIA三性)、主要内涵、关键风险及对策等。
·信息的分级分类和每个级别对应的安全管控措施
。
(2)实用技能
对于非信息安全专业人士来说,需要掌握的信息安全实用技能主要包括:
·对于业务人员,需要防钓鱼、防信息泄漏、邮件安全、密码安全、文档保密等基本的防护技能。
·对于信息科技开发人员,需要安全开发的概念和主要要求。
·对于信息科技运维人员,需要安全运维的概念和主要要求。
·对于所有人员,需要信息安全应急管理与业务连续性管理实践技能。
(3)安全意识
与安全意识相关的主要内容包括:
·同业主要信息安全风险事件案例的现象、原因分析和应对措施分析。
·金融机构最为常见的客户信息泄露、密码泄露、病毒木马、电信诈骗等手段及对应的防范措施。
培训需求分析的目的是,针对培训对象挑选出适当的培训内容,确保培训的效果能够满足企业对员工信息安全意识水平的要求。培训需求分析是培训的首要和重要环节,如果需求分析做得不到位,可能导致南辕北辙。
信息安全培训内容包罗万象,不是越全越好,也不是内容越专业越好,所谓“适合的就是最好的”,所以必须根据培训对象的需求、知识结构、技能状况、当前信息安全意识水平等因素做出合适的选择,因材施教,方可达到最好的效果。确定培训需求的方式主要有:
·访谈。一方面,可以通过与管理层访谈,获取对培训对象的期望;另一方面,与培训对象的代表访谈,了解其关于信息安全领域的“痛点”和期望达到的效果。访谈可以设置一些封闭性的和开放性的问题来开展。
·培训需求调查问卷。以问卷形式列出一组问题,可以包括封闭性问题和开放性问题,要求调查对象就问题进行打分、做选择或者给出描述性回答,调查问卷可以全员参与。
·员工安全意识水平测试。通过一些简单的测试题,或者专业培训机构提供的测试软件,获知培训对象的信息安全意识水平、主要短板等,从而有针对性地设计培训内容。
培训需求分析结束后,就需要结合当年的培训预算,确定具体的培训内容、培训方式和培训计划。
金融企业既可以采用现场培训、交流会议、知识竞赛等方式面对面开展培训,也可以采用Elearning电子学习平台、安全意识动画、电子期刊、宣传海报、桌面温馨提示等多种生动、直观、鲜活的宣传培训方法,寓教于乐,提升培训效果。还可以采用安全竞赛的方式,提高员工主动参与的积极性。
(1)现场培训
现场培训是最常见的一种集中开展的培训形式,优点是大家精力比较集中,交流较为充分,在主题的选择上可以更为聚焦,讲解上可以更为深入。以下是两种常见的现场培训方式:
·专题培训。选择几个最重要的信息安全主题,在深度上下功夫,把信息安全知识讲到位、讲透彻。针对高管层、管理者等对信息安全知识涉及面很广的培训,以及针对开发安全、运维安全等比较有深度的培训,都适合采用这种方式。
·交流会议。选择一些实践经验比较丰富的机构,现场做案例讲解,也可以针对金融机构内部的常见问题,由信息安全团队进行综合分析后讲解。对于金融企业内部涉及多个分支机构、多个部门,面临的信息安全环境和防护措施具备一定相似性的培训场景,适合采用这种方式。
(2)Elearning在线培训
Elearning在线培训(如图6-1所示),由于3A(Anytime,Anywhere,Anyway,任何时间、任何地点、多种方式)的特性,因此最适合针对全员的培训。
图6-1 Elearning培训示意
与现场培训不同,Elearning在线培训更适合普及性的、内容相对简短的培训,推荐的方式是选择一些重要的知识点,用案例的方式生动活泼地表现出来,其中再穿插讲解风险要点、规避措施和管理要求。例如,可以选择办公安全、客户信息保护、邮件安全、密码安全、文档保密等与所有员工都密切相关的主题,开展信息安全意识动漫制作及宣传教育,使员工们时刻牢记“安全无小事”,将日常信息安全行为规范转化为个人习惯,并长期持续地坚持下去。
(3)开办内外部信息安全专栏
信息安全专栏可以向内外部客户提供专业化、有深度的信息安全服务,引起内部员工和外部客户对信息安全的重视,主动学习各种技巧以防范可能随时面临的风险。主要形式有:
·内部专栏。在内部门户系统或办公自动化系统中开设信息安全专栏(如图6-2所示),随时发布与信息安全相关的内容,例如,主要的信息安全法律法规要点,国家层面关于网络安全防范的重要战略和指示精神,监管新动向,新发生的信息安全事件及防范措施等,提供一个方便的渠道以便员工学习和了解。为了拓展专栏的内容,可以举办征文大赛或者设立特约撰稿人,以保证来稿的数量和质量。
·外部专栏。在金融企业的微信公众号上,发布与信息安全意识相关的文章、图片、视频等,重点是向客户宣贯一些与信息安全相关的小案例、风险防范小技巧等。特别是可以结合一些热点新闻(如电信诈骗事件、网络钓鱼事件、客户信息泄露事件导致资金损失等),深度挖掘并向客户详解事件发生情况,提供图文并茂的实用防范技巧。所有外部专栏的内容,均可以通过微信群转发内部员工分享。
图6-2 某公司信息安全专栏课程
(4)以赛代训
以赛代训的优点是避免枯燥的、教条主义的灌输和说教,通过竞赛的方式,提高培训对象的参与度,调动培训对象的热情,从而加深印象。可以考虑的竞赛方式包括:
·合规知识竞赛。针对信息安全知识和技能要求,设计一些形式活泼的考题,例如,判断题、单选题、多选题、案例题等,通过分组比赛的方式,安排必答题和抢答题等形式,强化员工们对信息安全工作要求的理解,激发员工对信息安全知识和技能的学习热情,进而提高全体员工的信息安全风险及合规意识,营造良好的信息安全风险管控和合规工作气氛。
·信息安全创意作品大赛。通过不限形式的作品征集,鼓励全员参与竞赛,采用征文、摄影、视频、诗歌、宣传画报、漫画等各种各样的创意形式,表达信息安全意识宣传的主题,从而调动全体员工主动思考如何开展信息安全风险防范,并用通俗易懂的形式表达出来,往往能产生“高手在民间”的意外惊喜。最后的奖项设定也可以采用全民投票+专家评定的方式得出,促使全员认真研读参赛作品,无形中接受了信息安全意识培训,潜移默化地提升了信息安全意识水平。
·微信游戏比赛。通过在微信中设置一些信息安全小游戏,例如,答题闯关、有奖查漏、双人PK等方式,使大家在“玩中学、乐中学”,营造大家对信息安全的参与感。
·CTF攻防大赛。这是针对信息安全专业人员的一种竞赛方式(如图6-3所示)。CTF(Capture The Flag),直译为“夺旗比赛”,源于1996年举办的DEF CON全球黑客大会,该比赛是目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。随着金融企业安全攻防技术的发展,比较有技术实力和前瞻性的金融机构已经开始自行举办或者参与行业内的一些CTF比赛。比赛规则中设计了漏洞查找、问题解答、安全加固、相互攻击等模式,采用实战性的方法,可以快速训练和提升信息安全队伍的专业技能。
图6-3 Facebook Capture The
(5)信息安全实战演练
信息安全实战演练,采用“真演实练”的方式,模拟一些真实的攻击场景,检验员工的信息安全意识和面对攻击的应对水平。这种“以练代训”的培训方式,可以给员工真实的体验和深刻的教训,因此得到了越来越多的重视和实际应用。
由于面向全员开展,对于信息安全意识薄弱的员工可能会形成一定的“侵入式”干扰,因此在正式演练前,需要做一些准备工作:首先,要争取高管层面的支持、认可和授权;其次,应制订详细的演练方案,并在全员层面做好提前宣贯;再次,选择合适的演练启动方式,第一次最好采用“事先通知”模式,之后可以逐步试行“突然袭击”模式;最后,选择合适的演练场景。
适合全员信息安全实战演练的场景主要包括:
·钓鱼邮件和病毒木马。可以针对不同对象采用不同的钓鱼邮件内容,例如,冒充系统管理员“Admin”给全员发邮件要求修改密码,以盗取原账号和密码;冒充合作公司,提交带病毒木马的文档资料或合作方案;冒充人力资源部员工,以“调薪方案”或“工资明细”等为主题,传播带病毒木马的附件等。通过分析演练结果,披露被“钓鱼”的员工比例,揭示钓鱼邮件的主要特征、攻击过程和常用手法,提醒全员警惕钓鱼邮件风险,学习、理解并运用钓鱼邮件的防范手段,防止个人敏感信息泄露和被误导安装病毒木马。
·社会工程学方式。除了钓鱼邮件这一常见社会工程学的方式外,还可以采用假冒角色的方式,骗取敏感信息。例如,冒充上级或同事,向员工索取用户账号和密码;冒充金融企业的高管层向有机会接触敏感客户信息的员工索要客户信息等。通过这些案例,提醒员工警惕社会工程学攻击,防范“潜伏”在身边的风险隐患。
·撞库测试。在互联网上收集一些已泄露的账号密码,在行内系统开展撞库测试,检验行内用户账号和密码是否与被泄露的结果一致,提醒员工要对密码进行分类设置和管理。
·弱口令。采用类似员工姓名+生日、“password123”、纯数字等常见的弱口令,测试密码的强度,防止员工设置弱密码导致的风险。
各项实战演练结束后,应该做一些专题的案例分析,一方面详解攻击原理和过程,另一方面向员工宣传正确的防范措施,必要时可邀请在演练中“不幸中招”的人现身说法,呼吁大家引以为戒。
(6)信息安全活动宣传周、信息安全活动宣传月
近几年国家网络安全宣传周(如图6-4所示)和各省的网络安全宣传周办得如火如荼,促使金融企业、广大客户都更加重视信息安全,参与信息安全建设和宣传工作。
在金融企业内部,可以借势开展自己的信息安全宣传工作,也可以组织自己的信息安全活动宣传月,通过视频、画报、宣传手册、有奖知识问答、微信或微博展示等各种各样的形式,向全行及外部客户推广、宣传信息安全理念,提升信息安全意识,防范信息安全风险。
(7)无处不在的安全宣传
信息安全意识宣传必须“抬头不见低头见”,方可提高信息安全的“存在感”,起到更好的宣传效果,促使大家在日常工作中时刻注意信息安全。
图6-4 国家网络安全宣传周
例如,在电梯口的视频电视中持续播放信息安全意识宣传动画,在食堂墙报上张贴信息安全意识的口诀或者漫画(如图6-5所示),在过道拉起信息安全意识的宣传“易拉宝”,在办公环境中的会议室、文印室、办公座位,张贴“信息安全温馨提示”,在办公电脑的桌面屏保推送“信息安全宣传口号”或者“信息安全宣传墙纸”,人手一册发放有安全知识的笔记本等,都是金融企业可以参考的宣传方式。
图6-5 安全小贴士
(8)定期发送风险提示
针对防钓鱼、弱口令、外发邮件安全、客户信息保护等常见的信息安全风险,可以制作一些风险提示或者电子期刊,结合实际案例,讲解这些信息安全风险的常见表现、解决措施等,主动推送给企业内部员工和外部客户,让大家从案例中吸取经验教训,避免重蹈覆辙(如图6-6所示)。
图6-6 定期通过热点事件发送风险提示
(9)信息安全智能机器人系统
信息安全智能应答机器人,是参照智能客服的模式,以人工智能技术构建自动客服系统。建立信息安全智能知识库,涵盖信息安全基础知识、信息安全制度、信息安全案例、信息安全风险防范技巧等丰富的内容。面向金融企业全体用户提供与系统直接进行文字和自然语言对话的途径,帮助用户用最快的方式获取信息安全相关的知识。此外,在通过“智能应答机器人”平台进行信息安全知识宣贯的基础上,还可以形成专用的信息安全知识订阅号,主动推送宣传信息,与用户形成互动。
(10)外部提供的信息安全培训组合服务
金融企业特别是中小型金融企业的信息安全专业团队普遍存在人力资源不足的情况,能完成基本的信息安全工作已经颇为不易,自主组织和设计各种信息安全培训方案更是一种“奢求”。因此,购置第三方信息安全培训组合服务,可以作为金融企业信息安全培训工作的有益补充。
信息安全培训组合服务可提供定期的信息安全宣传材料,由于培训机构的产品化设计和专业化能力较强,可以制作出内容丰富、形式多样的培训材料,定期推送给员工,引导和影响员工的信息安全意识行为,最终达到提高整体信息安全意识水平的目的。培训机构可以通过信息安全动画、宣传片、视频课程、宣传画、知识手册、屏保、电子期刊(如图6-7所示)、现场培训等多种形式提供培训组合服务。
选择信息安全组合服务,最重要的是培训机构必须具备丰富的信息安全管理经验和信息安全培训服务实践能力,拥有具备信息安全专业资质和丰富信息安全培训经验的专业培训师资,且在金融行业承担过较多的信息安全培训服务,能深刻掌握金融行业信息安全的关键风险点和防范措施。
图6-7 免费订阅网络安全意识期刊
(1)全员每年例行培训
针对企业全员,每年需要例行开展一些培训,在主题和重点上可以轮换。例如,每年固定一个时间(例如在企业级工作会议或者企业级科技工作会议上)开展信息安全现场培训或者交流;每年固定一个时间(例如每年第三季度开始),组织全员参与Elearning在线培训等,使大家“温故而知新”,始终对信息安全“绷紧一根弦”。
(2)员工入职马上培训
对于新入职员工,在入职后一个月内需要开展信息安全培训,最好采用现场培训的方式开展,使新员工熟悉了解信息安全管理的必要性和重要性、信息安全相关的基本概念、企业关于信息安全管理的基本原则、主要的规章制度要点、不能触碰的“高压线”和“底线”、违反信息安全规定的惩罚措施等,并通过案例学习掌握金融企业关于信息安全管理的基本要求,以帮助新员工在进入企业之初就了解企业的信息安全文化和信息安全管理原则,初步掌握信息安全相关的基本知识与技能,养成良好的安全习惯,在工作中注意遵守信息安全管控要求。新员工的信息安全意识培训考核结果,可以与员工的转正相结合。
(3)高危人士时常培训
针对接触企业大量数据的信息科技人员、接触大量客户敏感信息的营销人员、掌握战略或人力资源管理等内部信息的关键岗位员工等“高危人士”,需要加大信息安全培训的频率,至少每半年接受一次培训,部分内容可以一直重复、常讲常新,部分内容可以根据当前形势与时俱进,提醒这些人士时刻警惕风险,防范主动或者被动的信息安全风险。
(4)专业人士专场培训
针对信息科技开发、运维、安全等直接从事信息安全风险防范工作的人士,要定期组织专场的培训,可以内训也可以参加外训,深入学习最新的信息安全技术和理论知识,形成体系化的知识结构,在工作中实践运用。
(5)特殊事件重点培训
在出现安全事件等特殊情况后,必须立即开展案例分析,分析事件发生的原因、影响、后续措施等,着重分析采取何种措施可以避免今后发生类似问题。将这些问题分析透彻并在内部尽可能大的范围内实现共享,就可以避免重蹈覆辙。
所谓面向对象的信息安全培训矩阵,就是将信息安全培训对象、核心诉求和培训“百宝箱”组合在一起,建立信息安全培训课程和培训对象之间的二维表格,针对不同的岗位设置不同的信息科技风险知识和技能要求,明确每一类培训对象应该参与的培训内容,确定培训形式及时长等。
要建立培训矩阵,建议遵循以下三个步骤:
1)分析培训矩阵的第一个维度“培训对象”,将培训对象的分类作为横轴。
2)分析培训矩阵的第二个维度“培训内容”。针对培训对象开展调研,通过代表性人物访谈、调研问卷、安全意识测试等方式,广泛征集各类培训对象关于信息安全的培训需求和对信息安全培训形式的建议。综合建议后形成培训内容、形式、资源、时长等,作为纵轴。
3)建立培训对象和培训内容之间的对应关系,形成培训体系的二维矩阵,每个培训对象的培训计划均可以从矩阵中筛选出来。再结合当年的培训预算、培训覆盖人群目标等,形成年度的培训计划。
以下是一个典型信息安全培训矩阵的示例,如表6-1所示,针对不同的培训对象,确定不同的培训内容,综合所有的培训内容,形成一个良好的培训体系。根据年度工作安排补充上时间维度,全年的信息安全培训工作规划就出炉了。
信息安全培训矩阵的建立,将一个个零散的、单点的、相互独立的信息安全培训课程,综合形成覆盖面完整的、系统化的、有针对性的、层次分明的信息安全培训体系,每一项培训都是整体规划的一个重要、有机的组成部分,整个培训规划涵盖了从基础到专业的不同内容,满足了各个层级、各类人群的不同需求,促进金融机构全员信息安全知识和技能的全面提升,可以达到良好的目标效益。
表6-1 信息安全培训矩阵
一个培训结束后,培训对象是否学习理解到位,往往隐性的,很难用量化的指标来检验。因此,培训效果衡量一直是培训工作的大难题,信息安全培训工作也不例外。培训后的考试是一种常见的检验方式,但通常只能衡量培训对象对于知识的当堂掌握情况。而是否可以将知识和实用技能应用到工作中,才是培训的真正目的所在,因此对实际应用效果的衡量,才是检验培训效果的最好方式。
培训效果评估指标(如表6-2所示)可以从以下几方面来设计:
·衡量培训组织情况,可以建立衡量培训计划执行情况和覆盖范围的指标,包括培训计划执行率、培训覆盖率(又可以包括全员培训覆盖率、新员工培训覆盖率、外包人员培训覆盖率等几个细分指标)。
·衡量直接的培训效果,可以建立衡量培训对象对培训内容中涉及的理论、概念、技术等学习掌握程度的指标。一般先组织笔试,然后将笔试结果作为衡量因素,可以设置的指标包括培训平均分、培训合格率等。
·衡量培训执行效果,可以通过日常信息安全检查工作的结果来衡量。指标包括“信息安全日常行为抽检合格率”“制度执行抽检违规率”“信息安全泄密事件”“重大信息安全责任事件”等。
表6-2 培训效果评估指标
设定或选择以上指标后,给每个指标设置一定的权重,加权平均计算出的综合结果,就可以衡量一个金融机构信息安全培训取得的整体效果、信息安全意识水平情况,以及信息安全要求落地执行的成效。必要情况下,可以与员工所在部门、员工本人的绩效挂钩,将上述指标量化结果转化为部门、个人的考核指标,从而提升全员对信息安全培训的重视程度,提高培训效果。
本章从信息安全培训的必要性出发,通过案例说明了信息安全意识不足的深刻教训,分析了信息安全培训对象的核心诉求,并从培训内容、培训需求分析、培训形式、培训时机等方面详细讲解了实战技巧,最后构建了面向对象的培训矩阵,并设计了实施效果衡量指标。