?Capital One公司首席執(zhí)行官Jerich Beason表示，“辭職潮”等同于“入職潮”。 他在一篇帖子中寫道，“如果你是網(wǎng)絡(luò)領(lǐng)導(dǎo)者，今年很可能會招聘新人才。根據(jù)我的經(jīng)驗，這為新員工入職時就為他們的今后的工作定下了基調(diào)，不要掉以輕心。給他們留下第一印象的機會只有一次。”

他說，入職期間要處理的關(guān)鍵任務(wù)包括概述安全愿景、使命和核心價值觀，以及引導(dǎo)新員工了解安全戰(zhàn)略和路線圖。

其他首席信息安全官也贊同Beason的見解，并聲稱讓新員工快速有效地加入企業(yè)的網(wǎng)絡(luò)安全計劃至關(guān)重要。

TalentLMS公司和Kenna Security公司的2021年報告指出需要關(guān)注這一領(lǐng)域。他們對1200名員工的網(wǎng)絡(luò)安全習(xí)慣、最佳實踐知識和識別安全威脅的能力進行了調(diào)查，發(fā)現(xiàn)盡管69%的受訪者接受了雇主的網(wǎng)絡(luò)安全培訓(xùn)，但61%的受訪者表示在這些主題的基本測試中失敗。

資深安全領(lǐng)導(dǎo)者表示，從員工入職的第一天開始，就有辦法讓安全培訓(xùn)更有效。他們提供了七種關(guān)于如何使安全入職更有效的策略。

1、確保他們知道網(wǎng)絡(luò)安全是工作的一部分

新員工需要了解大量信息，因此他們在入職過程中保留高度技術(shù)性數(shù)據(jù)或非常詳細流程的能力可能會受到限制。

SANS研究所安全意識和培訓(xùn)項目的技術(shù)總監(jiān)Lance Spitzner說，“當(dāng)新員工入職時，有些人可能會不知所措，而他們有一份新工作、新技術(shù)、新老板?！?/p>

因此，Spitzner建議，與其一次性提供所有必要的網(wǎng)絡(luò)安全培訓(xùn)，不如傳遞關(guān)鍵信息，也就是為員工在安全方面負有責(zé)任。

他說，“我們不希望這些人認為，‘我們有防病毒軟件，有安全團隊，所以我們在安全方面做好了準備?！彼赋?，最有效的入職程序是設(shè)定期望和培養(yǎng)安全意識。他補充說，“他們確保新員工知道網(wǎng)絡(luò)安全是自己工作的一部分，這不僅僅是網(wǎng)絡(luò)安全團隊的工作，他們和其他人一樣對此負責(zé)。”

2、確保新員工知道如何安全地完成工作

鑒于新員工獲得的信息量巨大，資深的首席信息安全官表示，召開有效的安全會議專門教會他們?nèi)绾伍_始工作，并確保他們掌握了這些基本安全知識。

Protiviti公司安全和隱私實踐部的常務(wù)董事Andrew Retrum說，“我看到一些員工入職安全意識培訓(xùn)非?；\統(tǒng)，當(dāng)他們結(jié)束培訓(xùn)時，就會有一些指向特定公司政策的鏈接以及發(fā)生安全事件之后的聯(lián)系信息，以及指向安全的鏈接門戶網(wǎng)站。如果我是新員工的話，這樣的培訓(xùn)并不是很有用，實際需要的是在幻燈片上提供安全工具的詳細信息?！?/p>

他表示，與其相反，入職培訓(xùn)應(yīng)該圍繞向新員工傳授具體的安全特征、功能和工具，以及企業(yè)關(guān)于安全電子郵件、正確分類數(shù)據(jù)、與第三方安全交換受保護信息以及以安全方式處理其他典型任務(wù)的政策。

Retrum說，“這需要清楚地表達出來，所以當(dāng)員工開始他們的日常工作時，他們知道如何安全地完成?！?/p>

3、讓員工參與

資深的首席信息安全官的另一條相關(guān)建議：不要空談，而是讓他們參與。

JAMS公司負責(zé)信息安全的副總裁兼首席信息安全官 Rich Lindberg說：“我們都要對安全負責(zé)，也是安全成功的一部分。我們都必須在這方面共同努力。但接受這種理念歸根結(jié)底是向他們表明展示他們的重要性并建立聯(lián)系?！盝AMS公司是一家提供替代爭議解決服務(wù)的企業(yè)，也是美國信息管理學(xué)會(SCSIM)南加州分會的咨詢委員會成員。

為了建立融洽的關(guān)系，Lindber表示他或他的團隊成員將會花費時間與新員工進行溝通。

他說，“我可以為他們提供信息簡報，或者讓他們遵守一些規(guī)則，但與其相反的是，我們可以為他們提供幫助，并在他們需要幫助時隨時聯(lián)系我們。我對待新員工就像對待客戶一樣，并確保提供高水平的服務(wù)。”

4、為員工量身定制入職培訓(xùn)

全球科技商Insight Enterprises公司副總裁兼首席信息安全官Jason Rader表示，針對新員工的大部分信息傳遞都是跨組織的標準信息，但首席信息安全官需要的不僅僅是通用培訓(xùn)模塊。

Rader說，“我們已經(jīng)收到了反饋，這些模塊可能過于通用，以至于它們毫無用處?！彼忉屨f，現(xiàn)成的培訓(xùn)選項可能滿足合規(guī)性要求，但不一定配備具備安全運營所需知識的新員工。

他看到培訓(xùn)課程使用的視頻僅說明“遵循公司的自帶設(shè)備政策”和“遵循公司的密碼政策”，而沒有提供實際政策。

因此Rader表示，他會注意用更多特定于Insight Enterprises公司安全計劃的信息來補充基本的入職材料。他補充說，“我正在努力使入職材料更加具體，我還和首席信息官探討其作用?！?/p>

同樣，Retrum建議首席信息安全官根據(jù)需要更新他們的培訓(xùn)。正如他所指出的那樣：“風(fēng)險會發(fā)生變化，因此18個月前的內(nèi)容可能與現(xiàn)在無關(guān)?！?/p>

例如，他看到安全培訓(xùn)側(cè)重于物理安全，但沒有提到網(wǎng)絡(luò)攻擊者通過短信進行欺騙和釣魚，網(wǎng)絡(luò)攻擊的風(fēng)險正在上升。

5、以標準化方法涵蓋基礎(chǔ)知識

微軟首席安全顧問、曾任首席信息安全官和入職安全檢查表的作者Terence D.Jackson表示，他遇到過一些企業(yè)的員工的安全入職是以臨時方式完成的。

他回憶說，“它沒有實現(xiàn)正式化，更多的是部落知識，沒有正式文件或培訓(xùn)材料支持?！?/p>

Jackson和其他人警告不要使用這種方法，并且不要假設(shè)當(dāng)今的員工對網(wǎng)絡(luò)安全有基本的了解。

他們強調(diào)需要以標準化、可重復(fù)的方法涵蓋安全基礎(chǔ)知識，以確保每個人確切地知道對他們的期望，無論他們在勞動力中的角色、經(jīng)驗和年齡。

Rader說，“不能指望某人遵守他們不知道的規(guī)則?！?/p>

Beason表示，CapitalOne公司通常會招募各種經(jīng)歷的員工，但他們過去的經(jīng)驗并不能保證會知道企業(yè)對他們的所有期望。

他說，“我們希望新員工知道我們公司的期望，因為每家企業(yè)在安全方面的要求并不一樣。因此，在新員工進入企業(yè)的工作環(huán)境之前，希望確保他們能夠安全地在這一環(huán)境中運行，以便他們了解最佳實踐和可接受的使用方式，如何使用電子郵件，以及企業(yè)對他們的期望。企業(yè)需要向他們提供這些基本知識?！?/p>

6、為個人和角色量身定制培訓(xùn)

盡管圍繞基本安全元素的信息應(yīng)該是一致和標準化的，但一些首席信息安全官表示，他們已經(jīng)成功地以不同格式共享這些信息。

Jackson說，“這是一種基線方法，能夠根據(jù)個人的需要進行調(diào)整，并從中構(gòu)建。我相信最好的項目都包含了這種心態(tài)。為員工提供他們需要的方式;更加靈活地滿足他們的需求。這樣做的項目往往比那些一刀切的項目更受歡迎?！?/p>

Jackson指出了他的入職經(jīng)驗，就是讓新員工可以閱讀或收聽培訓(xùn)材料或同時閱讀和收聽。他表示，他喜歡收聽培訓(xùn)材料，但在接受更復(fù)雜的信息時更喜歡同時閱讀和收聽。

此外，成功的入職培訓(xùn)計劃傾向于為角色和業(yè)務(wù)部門量身定制培訓(xùn)材料，并使用培訓(xùn)工具讓新員工快速了解他們的企業(yè)安全，以便他們可以將更多注意力集中在培訓(xùn)材料上。

他補充說：“企業(yè)盡量以員工為中心?！?/p>

7、將入職培訓(xùn)作為持續(xù)培訓(xùn)的一部分

IT服務(wù)管理商Genpact公司的高級副總裁兼首席信息安全官Ram Hegde認為，給新員工的安全信息應(yīng)該是輕量級但有效的信息。

和其他人一樣，他認為新員工在開始工作時無法吸收他們獲得的所有材料。

Hegde補充道：“因此，現(xiàn)在可能不是讓他們接受大量材料或計劃完成大量工作的最佳時機。因此需要考慮基礎(chǔ)培訓(xùn)，關(guān)注最大風(fēng)險?！?/p>

考慮到這一點，他使用了一個在線互動培訓(xùn)模塊，讓新員工能夠快速瀏覽他們已經(jīng)了解的材料，并花更多時間了解新信息。

他說，“這確保他們得到他們需要的東西，但它不會讓他們超過必要的時間?！彼a充說，對以前使用的材料有反饋，這些材料冗長、無聊和多余，而所有這些都促使企業(yè)轉(zhuǎn)向到更短、更吸引人的模塊。

隨后，該公司采取了后續(xù)行動，為新員工提供了更詳細的培訓(xùn)，幫助他們適應(yīng)工作。

Hegde解釋說，“對我們來說，我們希望確保首先觸及關(guān)鍵方面，考慮到各種背景，然后在下游，根據(jù)員工的情況進行更有針對性的安全培訓(xùn)?！?/p>

其他人強調(diào)這種方法的重要性，指出它與廣泛持有的最佳實踐相一致，即安全意識培訓(xùn)不是一種一勞永逸的做法。

Spitzner說：“無論互動性如何，都無法在30分鐘的培訓(xùn)中建立良好的安全行為。因此，確保新員工具有安全方面知識的關(guān)鍵是在他們的整個職業(yè)生涯中進行持續(xù)培訓(xùn)。因此，當(dāng)他們加入企業(yè)時，告訴這是他們的責(zé)任，只要員工在公司中工作，就會不斷接受網(wǎng)絡(luò)安全培訓(xùn)。這種持續(xù)培訓(xùn)才是真正構(gòu)建安全文化的基礎(chǔ)。”