六步赢得领导层对信息安全意识培训的支持
作者:星期三, 八月 13, 20140

0

信息安全意识工作的关键基础之一,就是获得领导层的支持。有了领导层的支持,才能顺利的开展工作,并得到其他部门的支持。即便还会碰到一些阻力,也容易克服或绕过。最重要的是更多资金上的支持,能够使安全意识的培训质量更高、培训面更广。

然而,得到管理层的支持非常困难。除非存在重大的安全漏洞,否则管理层很难清楚的看到投资于安全意识培训的益处。但是,作为负责信息安全工作的IT管理人员来说,必需克服这个困难。毕竟,信息安全意识培训的成功与否,会直接影响整个信息安全工作的开展和最终效果。

王强是一家大型企业的IT管理人员,最近接受了一项信息安全意识培训的工作。很快王强发现自己缺少开展这项工作足够的资源,他需要得到管理层的支持,以获得更多的预算。

带着这样的想法,王强决定冒险集中手中的现有资源,开展一次针对管理层的安全意识培训。如果管理层能够真正理解安全意识培训可以为公司业务和个人生活带来直接益处的话,她的冒险就成功了,接下来就可以筹集到更多的资金来实施整个安全意识培训的工作。

从上面的案例可以看出,这种做法有可能得到更多的资金支持。而且更为重要的是,这种针对性的培训方式,会提高整个企业对信息安全意识重要性的认知度。安全牛网本期“安全讲坛”下面就具体讲一下,如何通过意识培训赢得管理层的支持。

一、理解组织机构中存在着各自不同的文化

很遗憾,大部分安全意识培训对所有员工都是相同的培训内容。可实际上,在组织机构中,往往存在着许多不同的部门、层级或是专业文化。针对这些不同的机构文化,则需要设置不同的培训内容。尤其是高层管理人员,更是安全意识培训目标的重中之重。

管理层的关注点与其他级别的员工有很大的区别,而且接收信息的方式也不一样。因此,必需考虑到不能使用与普通员工一样的培训资料,要针对管理层建立一套独特的培训工作计划。

二、解决战略性问题

在选择针对管理层的安全意识培训的内容主题之前,要了解企业的业务目标,获悉管理层最关注哪些问题,确保安全意识培训能够解决这些问题,并尽可能的把所有的培训资料都与这些问题关联起来。

对于整个企业来说,你的安全意识培训要证明其给企业带的来价值,并对所有企业的关键业务工作起到相互促进和支持作用。

三、迎合管理层的价值观

除了专注于企业的业务问题之外,同样也不要忘记考虑管理层的个人价值取向。高级管理人员不仅关心他们的个人信息安全,同样也关心他们的家庭和家人的安全。要考虑到高管一般年龄偏大,并比普通人更为富有,这也就意味着他们拥有更新的科技手段、更多的个人电脑、更多的旅游生活,等等典型的社会上层人士的特征。

这就需要确保在安全意识培训中包含有个人价值观的内容,并希望管理层能够意识到培训中体现的这些价值观,同时这些价值观所透露的信息也可以无私地分享给普通员工。

四、直接询问以获悉管理层想要知道哪些信息

最有效果的分析研究就是直接询问。向管理层提问,问问他们都有哪些安全上的顾虑和担心。询问效果理想的话,相关问题就会直接暴露出来。然而,企业规模有大有小,而且高层人员对安全意识培训工作的认知度也不尽相同,最终的询问效果很可能会大打折扣。如果遇到这种情况,寻求管理层身边职员的帮助,以摸清真正的问题所在。

实际上询问会产生两种明显的效果。一种是通过直接询问,能够帮助你更好的根据目标人群的需要调整培训计划。另一种则更为重要,一些人会感觉到自己为培训计划的建立做出了贡献。无论是领导层还是他们身边的人,都会有一种参与感,从而这些人会更加积极的劝服别人参加信息安全意识的培训工作。有时,高管身边的人员比高管本人给培训计划带来的益处更大,因为这些人对领导层的日常工作安排有着直接的影响力。

五、使用合适的沟通工具

即使你的信息内容正确,也确保使用合适的沟通手段。典型的海报、内刊和视频等传播方式,通常是不够的。在不同的企业,管理层往往有着各自的沟通渠道。在开始建立安全意识培训计划之前,需要了解哪一种沟通渠道最能满足开展工作的需要。

六、坚持三个易于实施的培训主题

在开始培训计划时,找到一些有效的培训主题并不困难。本文推荐坚持三个易于提出和加强的培训主题。这些主题的选择要足以让接受培训的管理层理解信息安全意识培训的意义所在,同时建议在三个关键领域选择这样的主题:达成业务目标;吸引个人兴趣;针对当前问题。

上文中已经提到了前二个问题,现在来谈谈第三个问题,针对当前事件。把当下发生的新闻事件与培训主题结合起来,比如介绍最新曝光的网络漏洞,重大的安全事件,并讲述这些漏洞和事件给企业和个人带来什么样的影响。要利用这些最新发生的新闻事件,把大家的日常工作和安全意识联系起来,以达到安全意识培训的良好效果。

要同时运用各种沟通渠道来强调这三种培训主题,传统的意识培训往往每次只宣传一个主题。这种每隔一段时间宣传一种主题的培训形式,对于普通员工来说基本没有效果,对高级管理人员来说则效果更差。

结论

即使你的培训计划没有获得高级管理层的支持,也要认识到他们是与普通员工有着不同意识培训需求和沟通需要的一群人,之前的工作只是整个培训工作的第一步。一定要让这些高级管理人员认识到,让企业其他员工接受类似的信息安全意识培训能够使整个企业受益。更为重要的是,你必需劝服管理层增加培训工作所需的资源,以保证培训工作的顺利进行。

高级管理层的支持是如此重要,你也许应该把初始培训预算的很大一部分用到这些少数人的身上,并努力去打动他们以增加你的培训预算,从而最终把信息安全意识培训工作扩展到整个企业。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章