?Capital One公司首席執(zhí)行官Jerich Beason表示，“辭職潮”等同于“入職潮”。 他在一篇帖子中寫(xiě)道，“如果你是網(wǎng)絡(luò)領(lǐng)導(dǎo)者，今年很可能會(huì)招聘新人才。根據(jù)我的經(jīng)驗(yàn)，這為新員工入職時(shí)就為他們的今后的工作定下了基調(diào)，不要掉以輕心。給他們留下第一印象的機(jī)會(huì)只有一次?！?/p>

他說(shuō)，入職期間要處理的關(guān)鍵任務(wù)包括概述安全愿景、使命和核心價(jià)值觀，以及引導(dǎo)新員工了解安全戰(zhàn)略和路線圖。

其他首席信息安全官也贊同Beason的見(jiàn)解，并聲稱讓新員工快速有效地加入企業(yè)的網(wǎng)絡(luò)安全計(jì)劃至關(guān)重要。

TalentLMS公司和Kenna Security公司的2021年報(bào)告指出需要關(guān)注這一領(lǐng)域。他們對(duì)1200名員工的網(wǎng)絡(luò)安全習(xí)慣、最佳實(shí)踐知識(shí)和識(shí)別安全威脅的能力進(jìn)行了調(diào)查，發(fā)現(xiàn)盡管69%的受訪者接受了雇主的網(wǎng)絡(luò)安全培訓(xùn)，但61%的受訪者表示在這些主題的基本測(cè)試中失敗。

資深安全領(lǐng)導(dǎo)者表示，從員工入職的第一天開(kāi)始，就有辦法讓安全培訓(xùn)更有效。他們提供了七種關(guān)于如何使安全入職更有效的策略。

1、確保他們知道網(wǎng)絡(luò)安全是工作的一部分

新員工需要了解大量信息，因此他們?cè)谌肼氝^(guò)程中保留高度技術(shù)性數(shù)據(jù)或非常詳細(xì)流程的能力可能會(huì)受到限制。

SANS研究所安全意識(shí)和培訓(xùn)項(xiàng)目的技術(shù)總監(jiān)Lance Spitzner說(shuō)，“當(dāng)新員工入職時(shí)，有些人可能會(huì)不知所措，而他們有一份新工作、新技術(shù)、新老板?！?/p>

因此，Spitzner建議，與其一次性提供所有必要的網(wǎng)絡(luò)安全培訓(xùn)，不如傳遞關(guān)鍵信息，也就是為員工在安全方面負(fù)有責(zé)任。

他說(shuō)，“我們不希望這些人認(rèn)為，‘我們有防病毒軟件，有安全團(tuán)隊(duì)，所以我們?cè)诎踩矫孀龊昧藴?zhǔn)備?！彼赋觯钣行У娜肼毘绦蚴窃O(shè)定期望和培養(yǎng)安全意識(shí)。他補(bǔ)充說(shuō)，“他們確保新員工知道網(wǎng)絡(luò)安全是自己工作的一部分，這不僅僅是網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作，他們和其他人一樣對(duì)此負(fù)責(zé)?！?/p>

2、確保新員工知道如何安全地完成工作

鑒于新員工獲得的信息量巨大，資深的首席信息安全官表示，召開(kāi)有效的安全會(huì)議專門(mén)教會(huì)他們?nèi)绾伍_(kāi)始工作，并確保他們掌握了這些基本安全知識(shí)。

Protiviti公司安全和隱私實(shí)踐部的常務(wù)董事Andrew Retrum說(shuō)，“我看到一些員工入職安全意識(shí)培訓(xùn)非?；\統(tǒng)，當(dāng)他們結(jié)束培訓(xùn)時(shí)，就會(huì)有一些指向特定公司政策的鏈接以及發(fā)生安全事件之后的聯(lián)系信息，以及指向安全的鏈接門(mén)戶網(wǎng)站。如果我是新員工的話，這樣的培訓(xùn)并不是很有用，實(shí)際需要的是在幻燈片上提供安全工具的詳細(xì)信息?！?/p>

他表示，與其相反，入職培訓(xùn)應(yīng)該圍繞向新員工傳授具體的安全特征、功能和工具，以及企業(yè)關(guān)于安全電子郵件、正確分類數(shù)據(jù)、與第三方安全交換受保護(hù)信息以及以安全方式處理其他典型任務(wù)的政策。

Retrum說(shuō)，“這需要清楚地表達(dá)出來(lái)，所以當(dāng)員工開(kāi)始他們的日常工作時(shí)，他們知道如何安全地完成。”

3、讓員工參與

資深的首席信息安全官的另一條相關(guān)建議：不要空談，而是讓他們參與。

JAMS公司負(fù)責(zé)信息安全的副總裁兼首席信息安全官 Rich Lindberg說(shuō)：“我們都要對(duì)安全負(fù)責(zé)，也是安全成功的一部分。我們都必須在這方面共同努力。但接受這種理念歸根結(jié)底是向他們表明展示他們的重要性并建立聯(lián)系。”JAMS公司是一家提供替代爭(zhēng)議解決服務(wù)的企業(yè)，也是美國(guó)信息管理學(xué)會(huì)(SCSIM)南加州分會(huì)的咨詢委員會(huì)成員。

為了建立融洽的關(guān)系，Lindber表示他或他的團(tuán)隊(duì)成員將會(huì)花費(fèi)時(shí)間與新員工進(jìn)行溝通。

他說(shuō)，“我可以為他們提供信息簡(jiǎn)報(bào)，或者讓他們遵守一些規(guī)則，但與其相反的是，我們可以為他們提供幫助，并在他們需要幫助時(shí)隨時(shí)聯(lián)系我們。我對(duì)待新員工就像對(duì)待客戶一樣，并確保提供高水平的服務(wù)?！?/p>

4、為員工量身定制入職培訓(xùn)

全球科技商Insight Enterprises公司副總裁兼首席信息安全官Jason Rader表示，針對(duì)新員工的大部分信息傳遞都是跨組織的標(biāo)準(zhǔn)信息，但首席信息安全官需要的不僅僅是通用培訓(xùn)模塊。

Rader說(shuō)，“我們已經(jīng)收到了反饋，這些模塊可能過(guò)于通用，以至于它們毫無(wú)用處?！彼忉屨f(shuō)，現(xiàn)成的培訓(xùn)選項(xiàng)可能滿足合規(guī)性要求，但不一定配備具備安全運(yùn)營(yíng)所需知識(shí)的新員工。

他看到培訓(xùn)課程使用的視頻僅說(shuō)明“遵循公司的自帶設(shè)備政策”和“遵循公司的密碼政策”，而沒(méi)有提供實(shí)際政策。

因此Rader表示，他會(huì)注意用更多特定于Insight Enterprises公司安全計(jì)劃的信息來(lái)補(bǔ)充基本的入職材料。他補(bǔ)充說(shuō)，“我正在努力使入職材料更加具體，我還和首席信息官探討其作用?！?/p>

同樣，Retrum建議首席信息安全官根據(jù)需要更新他們的培訓(xùn)。正如他所指出的那樣：“風(fēng)險(xiǎn)會(huì)發(fā)生變化，因此18個(gè)月前的內(nèi)容可能與現(xiàn)在無(wú)關(guān)?！?/p>

例如，他看到安全培訓(xùn)側(cè)重于物理安全，但沒(méi)有提到網(wǎng)絡(luò)攻擊者通過(guò)短信進(jìn)行欺騙和釣魚(yú)，網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)正在上升。

5、以標(biāo)準(zhǔn)化方法涵蓋基礎(chǔ)知識(shí)

微軟首席安全顧問(wèn)、曾任首席信息安全官和入職安全檢查表的作者Terence D.Jackson表示，他遇到過(guò)一些企業(yè)的員工的安全入職是以臨時(shí)方式完成的。

他回憶說(shuō)，“它沒(méi)有實(shí)現(xiàn)正式化，更多的是部落知識(shí)，沒(méi)有正式文件或培訓(xùn)材料支持?！?/p>

Jackson和其他人警告不要使用這種方法，并且不要假設(shè)當(dāng)今的員工對(duì)網(wǎng)絡(luò)安全有基本的了解。

他們強(qiáng)調(diào)需要以標(biāo)準(zhǔn)化、可重復(fù)的方法涵蓋安全基礎(chǔ)知識(shí)，以確保每個(gè)人確切地知道對(duì)他們的期望，無(wú)論他們?cè)趧趧?dòng)力中的角色、經(jīng)驗(yàn)和年齡。

Rader說(shuō)，“不能指望某人遵守他們不知道的規(guī)則。”

Beason表示，CapitalOne公司通常會(huì)招募各種經(jīng)歷的員工，但他們過(guò)去的經(jīng)驗(yàn)并不能保證會(huì)知道企業(yè)對(duì)他們的所有期望。

他說(shuō)，“我們希望新員工知道我們公司的期望，因?yàn)槊考移髽I(yè)在安全方面的要求并不一樣。因此，在新員工進(jìn)入企業(yè)的工作環(huán)境之前，希望確保他們能夠安全地在這一環(huán)境中運(yùn)行，以便他們了解最佳實(shí)踐和可接受的使用方式，如何使用電子郵件，以及企業(yè)對(duì)他們的期望。企業(yè)需要向他們提供這些基本知識(shí)?！?/p>

6、為個(gè)人和角色量身定制培訓(xùn)

盡管圍繞基本安全元素的信息應(yīng)該是一致和標(biāo)準(zhǔn)化的，但一些首席信息安全官表示，他們已經(jīng)成功地以不同格式共享這些信息。

Jackson說(shuō)，“這是一種基線方法，能夠根據(jù)個(gè)人的需要進(jìn)行調(diào)整，并從中構(gòu)建。我相信最好的項(xiàng)目都包含了這種心態(tài)。為員工提供他們需要的方式;更加靈活地滿足他們的需求。這樣做的項(xiàng)目往往比那些一刀切的項(xiàng)目更受歡迎?！?/p>

Jackson指出了他的入職經(jīng)驗(yàn)，就是讓新員工可以閱讀或收聽(tīng)培訓(xùn)材料或同時(shí)閱讀和收聽(tīng)。他表示，他喜歡收聽(tīng)培訓(xùn)材料，但在接受更復(fù)雜的信息時(shí)更喜歡同時(shí)閱讀和收聽(tīng)。

此外，成功的入職培訓(xùn)計(jì)劃傾向于為角色和業(yè)務(wù)部門(mén)量身定制培訓(xùn)材料，并使用培訓(xùn)工具讓新員工快速了解他們的企業(yè)安全，以便他們可以將更多注意力集中在培訓(xùn)材料上。

他補(bǔ)充說(shuō)：“企業(yè)盡量以員工為中心?！?/p>

7、將入職培訓(xùn)作為持續(xù)培訓(xùn)的一部分

IT服務(wù)管理商Genpact公司的高級(jí)副總裁兼首席信息安全官Ram Hegde認(rèn)為，給新員工的安全信息應(yīng)該是輕量級(jí)但有效的信息。

和其他人一樣，他認(rèn)為新員工在開(kāi)始工作時(shí)無(wú)法吸收他們獲得的所有材料。

Hegde補(bǔ)充道：“因此，現(xiàn)在可能不是讓他們接受大量材料或計(jì)劃完成大量工作的最佳時(shí)機(jī)。因此需要考慮基礎(chǔ)培訓(xùn)，關(guān)注最大風(fēng)險(xiǎn)?！?/p>

考慮到這一點(diǎn)，他使用了一個(gè)在線互動(dòng)培訓(xùn)模塊，讓新員工能夠快速瀏覽他們已經(jīng)了解的材料，并花更多時(shí)間了解新信息。

他說(shuō)，“這確保他們得到他們需要的東西，但它不會(huì)讓他們超過(guò)必要的時(shí)間?！彼a(bǔ)充說(shuō)，對(duì)以前使用的材料有反饋，這些材料冗長(zhǎng)、無(wú)聊和多余，而所有這些都促使企業(yè)轉(zhuǎn)向到更短、更吸引人的模塊。

隨后，該公司采取了后續(xù)行動(dòng)，為新員工提供了更詳細(xì)的培訓(xùn)，幫助他們適應(yīng)工作。

Hegde解釋說(shuō)，“對(duì)我們來(lái)說(shuō)，我們希望確保首先觸及關(guān)鍵方面，考慮到各種背景，然后在下游，根據(jù)員工的情況進(jìn)行更有針對(duì)性的安全培訓(xùn)?！?/p>

其他人強(qiáng)調(diào)這種方法的重要性，指出它與廣泛持有的最佳實(shí)踐相一致，即安全意識(shí)培訓(xùn)不是一種一勞永逸的做法。

Spitzner說(shuō)：“無(wú)論互動(dòng)性如何，都無(wú)法在30分鐘的培訓(xùn)中建立良好的安全行為。因此，確保新員工具有安全方面知識(shí)的關(guān)鍵是在他們的整個(gè)職業(yè)生涯中進(jìn)行持續(xù)培訓(xùn)。因此，當(dāng)他們加入企業(yè)時(shí)，告訴這是他們的責(zé)任，只要員工在公司中工作，就會(huì)不斷接受網(wǎng)絡(luò)安全培訓(xùn)。這種持續(xù)培訓(xùn)才是真正構(gòu)建安全文化的基礎(chǔ)?！?/p>