【安全课堂】五招潜移默化员工安全行为
作者:星期一, 三月 2, 20150

12-Five sneaky ways companies are changing employees’ security behavior

就像处于青春叛逆期的少年,在面对网络安全问题时,有些员工并不想被人告诫什么该做什么不该做。太多的规矩会导致不经意间做出错误的决定,将公司数据至于网络威胁之中。相反,更加温和的方式则可以帮助他们做出自己更加明智的决定。

但是,改变员工的行为并非易事。人是社会性动物,天生需要进行社交活动和分享信息。——阿里桑德罗·阿奎斯特,卡耐基梅隆大学IT与公共策略教授,美国最大的网络安全研究与教育机构卡耐基梅隆大学(CMU)网络实验室(CyLab)成员。

据研究,自我表露可以触发脑神经机制中与奖励有关的部分,表明人类非常看重与他人分享想法与感受的能力。在一个实验中,实验体甚至想花钱获取一个披露自身信息的机会。

“问题在于,现代科技增加了我们暴露信息的能力,我们已经无法真正意识到自己到底给出去多少信息,这些信息都传到了多少人那里。”阿奎斯特说。

亚伯丁集团的研究称,对员工进行意识训练确实可以帮助改善这种情况。改变员工的行为可以将安全漏洞风险降低45%~70%。更重要的是,意识训练可以更有效率地取得比安全主管们预想得要好的结果——如果他们弹准那根正确的行为弦的话。

雇主和研究人员借助正面的强有力的人类行为指引员工做出更好的安全决策。下面就给出这5种润物细无声的方法。

1. 爱心

保险提供商XL集团曾找寻一种吸引员工注意力的方法,好让他们将有价值的安全信息——保护的不仅仅是公司数据,也包括员工个人信息——传递给员工。

公司希望大家都为一个共同的目标而努力,并且唤起他们内在的恻隐之心。因此XL集团邀请员工接受一项挑战——看一段安全教育视频,然后,作为回报,视频每被观看一次,公司将为“医生无国界”组织捐赠1美元。(“医生无国界”是一个国际性人道主义医疗救助组织,在全球近70个国家提供医疗救助服务。)

XL集团围绕保护公司、公司的数据、移动设备和个人信息制作了7段教育视频,主题涵盖鱼叉式网络钓鱼、电话钓鱼、僵尸网络和社交媒体威胁。 这些视频短片每个月通过电子邮件和博客发放。

XL集团首席信息风险官托马斯·邓巴说:“我们的目标是让XL员工观看视频1万次,为医生无国界组织捐赠1万美元。”这次活动很轻易地达成了目标,邓巴的团队在12月给该慈善组织送去了支票。

对公司而言,这次活动还达成了一个与观看视频和捐助慈善同样重要的目标——分布全球的4千5百名XL员工都被纳入到保护公司信息和个人信息的活动中来。

“我们让你自己做决定,但我们会引导你做我们认为对你最好的事。”——CyLab可用隐私和安全实验室主任洛丽·克兰娜。

2. 叮嘱

你也许被管控过,被戳动过,现在,准备好被谆谆叮嘱吧。卡耐基梅隆的研究员们受经济学文献启发,正在实验“软性家长主义”。

CyLab可用隐私和安全实验室主任洛丽·克兰娜说:“我们让你自己做决定,但我们会引导你做我们认为对你最好的事。”

例如:开发一款工具,专注于防止后悔和帮助社交媒体用户对自身的发布行为做出更好选择。当用户正在输入时,这款工具就从能看到用户发布内容的联系人列表中随机选取5名,将这5名联系人的资料图片显示在屏幕上。“也许你已经遗忘的用户也会弹出在屏幕上,这将使你再次斟酌你正在写的东西。”克兰娜说。

3. 倒计时

为了使用户停下想一想,CMU还研发了另一款工具,提供发布前倒计时10秒的功能。“你可以在这10秒内阅读、编辑或删除即将发布的内容。我们发现这是一个让人们停下来想一想的确实有效的方法。”

两款工具在工作环境中都十分有效。克兰娜说:“你还可以开发一款叮嘱工具留意那些违反公司政策的事件并提供相关提示信息和行为建议——‘嘿,再看看你将要发送的东西吧!看看它有没有越界呀!”

4. 游戏

使用互动游戏技巧培训或激励用户(也称为游戏机制)的方法已经从市场部以客户为中心的应用迁移到IT部门引领的为提升安全意识而打造的更加偏向以雇员为中心的应用上了。

这些互动游戏软件通常根植于雇员的竞争天性,并且涉及到教会玩家某种安全概念并应用到特定场景中。玩家要与时间竞赛,从每次正确的做法中赚取积分。

匹兹堡安全意识训练公司Wombat总裁兼首席执行官Joe Ferrara说:“客户的工作也是多任务的,需要快速做出决策。我们试图给客户在工作上也有跟游戏时同样的体验。”

有些员工玩这种游戏是追求个人最好成绩,但某些公司已经开始组织基于游戏的个人或团队竞赛,并且还有奖金。

美国信息存储资讯科技公司易安信利用一款网络游戏结合以猫王为主题的“可疑链接”视频(模范猫王普雷斯利的流行曲《怀疑的心》)来使其全球员工意识到钓鱼诈骗及其对公司的影响。员工必须观看视频,然后答对全部问题才能赢取一台iPad Air。全球卓越中心也以团队形式展开竞赛,奖品是一次公司聚会。

风险分析师布赖恩·奥斯特曼说:“我们喜欢举办竞赛,因为我们知道用户想要的不仅仅是学习。我们将学习游戏化并增强竞争性,这样就真的有意思了。”

5. 感谢

位于伊利诺伊州诺斯布鲁克的安全科学公司UL并没有给予具安全意识的行为任何形式的现金奖励。但当员工发现高风险的钓鱼诈骗且有人第一时间就做出响应,公司安全团队会给发现这和处理者发送一份致谢函以示认可,并抄送给其上级主管、业务部门负责人,有时还会抄送到公司CEO手中。“这对公司安全工作大有裨益。”UL高级副总裁兼首席风险官史蒂夫·文奇说。

UL设立了一个以行为为中心的安全培训项目,旨在帮助其近1.1万名员工识别钓鱼信息并快速报告给UL的安全团队。该项目建立了一个众包“人肉防火墙”。每天,UL的员工都在发现新的攻击,报告它们——通常在几分钟内——使UL的安全团队能够快速采取措施封锁这些攻击并警告其他用户和修复感染。

受该项目影响,事件报告从每月10起上升到超过1千起,病毒相关的感染事件则下降了19%。

文奇说:“对员工所做出的努力我们非常感谢。当他们发现了可对公司产生重大影响的钓鱼骗局,我们就会告诉他们‘你拯救了你的同事和客户。”

安全牛评:润物细无声的方法,其最大的好处就人们不用仔细考虑就可以做出更好的决定。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章