云计算业务承载平台
2022.05.20
如何构建高效学习、轻松管理的安全意识培养新模式?
人为因素是所有网络安全事件中占比最高也是最难防范的,网络安全防范意识培养是解决人为因素最有效的方式之一。随着国家出台并实施《网络安全法》以及各行业对网络安全的监管要求不断明确,越来越多的企事业单位开始关注网络安全意识教育工作,以减少安全风险。但是,此项工作仍停留在“追求表面、应付工作”的层面,实际效果甚微。那么到底应该怎样培养员工的网络安全意识呢?
01
网络安全意识宣教的误区
通过对上百家企业的调研,我们发现传统的网络安全意识培养模式中存在很多共性问题,主要包括以下方面:
认为员工网络安全意识宣传教育工作开展一次就可立竿见影;
认为每年向员工宣传教育的网络安全知识点不应该重复;
期望每一位员工都会关注网络安全意识宣传教育工作,喜欢每一种宣传教育手段;
每年都可以延续前一年的宣传教育工作计划,而不做任何优化。
02
网络安全意识宣教的科学方法论
根据多年企业员工网络安全意识宣传教育研发与实践经验,我们认为,提高网络安全意识,必须要与马斯洛的需求层次理论相结合,并参与建构学习理论、案例教学理论、现代教学理论、学习金字塔理论、教育心理学、脑认知科学等,形成科学的安全意识培养体系;同时,通过案例牵引价值,激发企业员工主动学习的动力与心态,为学习者打造“时时可学、处处能学”的网络安全意识宣教生态,并为有效的建构安全认知营造立体而丰满的宣教情境。只有开启深刻而独特的体验式学习,才能有效提高网络安全的学习效果,达成“网络安全无小事,事事时时需谨慎”的网络安全教育目标。
1. 满足个体在信息时代安全发展的内在需求
在虚假信息与数据泄密横行的网络世界里,数字化生存能力是每一个人的需求。因此,网络安全意识、网络安全知识以及网络安全能力将成为每一个职场人的必备能力。马斯洛的需求层次理论将安全的需求列为人类发展五大需求之二,他认为每个人都有为追求安全而努力学习的本能和潜力,包括安全的身体、安全的工作氛围和安全的职业发展等。新一代网络安全意识宣传教育产品内容涉及领域非常广泛,从普通民生到职场的方方面面,要能够迎合信息时代普通大众和职场精英对网络安全的学习需求,帮助他们从网络安全角度完善数字化生存能力。
2. “时时可学、处处能学”的安全意识宣教生态
网络安全意识宣传教育产品需要兼顾传统纸质媒介与现代网络媒体的教育传播方式,打造办公环境类、电子期刊类、面授培训类、微视频类、电子手册类、图片故事类、互动游戏类、工具操作类、桌面屏保类等多类别、多样态的产品,从办公环境的合理嵌入到手机移动端的智能推送,实现工作场所学习与跨终端、跨平台的网络移动学习的结合,为学习者提供一个随时随地开展网络安全了解和学习的无缝学习生态环境。
3. 案例教学,激发学习者主动学习的潜在动力
最早起源于美国哈佛商学院的“案例教学”成为全球教育界所推崇和倡导的一种有效教学模式,研究发现这些来自于真实情景的案例或事件远比抽象的知识更能引起学习者的关注与兴趣,助力实际问题的思考。案例的合理利用实现了理论与实际的联系,帮助学习者找到学习的价值和迁移的方向。新一代网络安全意识宣传教育产品要能够敏锐地洞察信息社会中实际工作与生活中的鲜活实例,将其作为安全意识教育的牵引,强化学习者对网络安全重要性的认知、网络安全学习的意义与价值的认知,进一步形成网络安全学习的动力与心向,这是开启有效学习的最重要一环。
4. 开启深刻而独特的体验式学习
学习金字塔是美国缅因州的国家训练实验室研究成果,它用数字形式形象生动地展示了学习者采用不同学习方式的效果,比如学习者在两周以后能记住内容的数量,它是一种现代学习方式的理论。这一理论揭示“做中学”、“实际演练”、“马上应用”等学习方式是非常有效的,这类学习方式的特点就是主动的、参与式的、体验式的学习。现代企业网络安全意识宣传教育要能够通过游戏类的、工具类的、体验类的产品给予学习者丰富的体验,激发学习者主动学习的欲望,寓教于乐,学以致用,有效促进网络安全的学习成效。
03
体系化网络安全意识宣传新模式
针对员工的网络与网络安全意识教育工作绝非简单地通过一次现场培训、考试或阅读海报就能完成和取得效果的,需要综合考虑企业的办公文化、物理环境特点、员工办公习惯和喜好等因素,形成体系化的安全意识教育方案。
调研发现,新一代企业员工网络安全意识培养工作的需要具备以下几点:
需合理利用员工碎片化时间,不耽误员工业务工作;
宣传教育的形式力求不引起员工反感;
宣贯着重与员工工作、生活息息相关的网络安全知识,力求对员工有感触,并引起重视;
表现形式要新颖,吸引员工注意力,让知识灌输做到“润物细无声”;
认为员工网络安全意识宣传教育工作开展一次就可立竿见影;
员工网络安全意识培养工作需要长期坚持。
企业要明确网络安全培养体系的出发点和体系中每个模块的内容。在具体的培训工作的计划中,大致可以分为培训对象、培训内容、培训载体、培训形式、培训验收和培训反馈。
1. 培训对象
大多数企业希望开展的是全员的意识培训,结合培训工作实际,企业在做培训对象的分类时也是从以下两个方面进行考虑:
不同职位有不同的培训需求:比如普通业务员工与专门的网络安全岗位人员所培训的内容是有差异的。
员工在不断成长的过程中需要不断地改变意识培训的内容:比如新入职的员工与中层管理者,两者对于公司资源的掌控程度不同,这意味着需要不同主题的意识培训课件来进行针对性学习。
2. 培训内容
按照培训对象的不同,可以将培训内容分为3类:
日常安全意识知识:日常安全意识对应的就是全员,这里面的知识点覆盖面较广,大多以日常工作行为为例,通俗易懂,让员工有较强的代入感。
技术类知识:技术类知识对应的是企业的信息技术部门和网络安全部门的员工,包括安全漏洞、安全编码和数据审计等技术规范类知识。
法律法规知识:法律法规知识:法律法规方面是指在国家的法律法规要求下以及对于行业的监管要求下该做好哪几个方面,这对企业发展来说十分重要。此部分对应人员可以是企业的中高层管理人员或有合规需求的业务人员。
3. 培训载体
培训载体就是通过哪些途径去向员工传输培训知识内容,传统方式是依靠线下面授培训以及海报、期刊等。随着科技不断发展,线上培训载体也开始出现微信、电子邮件、办公系统、在线游戏等。同时,也诞生了VR游戏、全息投影等更具科技含量的培训载体,更容易被企业年轻员工所接受。
4. 培训形式
多种多样的培训形式是解决员工对于安全意识培训长期坚持以及自主坚持的关键因素,例如:传统的面授培训方式太枯燥,无法吸引员工学习,现在通过有趣的动画视频以及形象生动的长图让员工更有兴趣、更高效的获取知识。同时无论是线下的安全期刊、易拉宝,还是线上的公众号图文播放、 PPT演示以及小游戏都让员工有更多的选择以及代入感。
另外为了不占用日常工作时间来进行学习,还可以通过电脑屏保、电梯的电视动画、海报、以及宣传片,这些都可以利用员工的碎片化时间,潜移默化地提升全员的安全意识。
5. 成果验收
每项学习都需要由成果来验证,意识培训也是如此。在验收层面对于企业来说需要投入人力以及财力来进行,比如可以组织线下全员的意识测试,从而获取各部门各员工的学习结果,同时也可以利用线上学习平台,通过即时的数据情况和对比来监督和提醒学习进度和情况。
6. 效果反馈
安全意识培训在实施过程中还是需要不断地迭代和更新,同时应更多听取员工使用的感想和意见,这样才能发挥出培训的最佳属性,真正做到培训常态化、主动化、有效化。
04
一站式安全意识培训平台的构建
我们看到,在企业安全意识培训需求的推动下,国内网络安全意识培养模式正在向科学化、体系化、专业化的方向转型升级,各大安全培训服务机构也开始尝试构建并推出整合多种网络安全意识培训模式的体系化培训工具或平台。
以谷安天下最新发布的安全易视系统为例,通过将所有课程平台化统一部署,并提供持续化、多样化的学习模式,可以帮助企业一站式、持续化、安全化、可量化的开展全员网络安全意识教育工作,让企业全面了解全员整体的网络安全意识水平与提升目标,从而最终实现和提升企业全员的网络安全水平和能力。