La formazione alla consapevolezza della sicurezza è un peccato per la maggior parte dei dipendenti.
Un aneddoto preferito che ho è un gruppo di dipendenti che spiega come completare rapidamente la formazione sulla consapevolezza della sicurezza online scoprendo tutte le risposte nel codice HTML non elaborato.
Quali sono le buone politiche motivanti per incoraggiare i dipendenti a contribuire a una buona difesa?
Norme sociali. Se i dipendenti vedono i manager prendere sul serio la sicurezza, stabiliscono un'aspettativa culturale che per andare avanti in questa azienda, devo prendere sul serio la sicurezza.
Paradossalmente, la prima responsabilità dell'addestramento alla sicurezza è mostrare perché la formazione sulla sicurezza è importante, interessante per te (il dipendente) e rilevante (per il tuo lavoro).
Qualsiasi tipo di addestramento (almeno la prima formazione per la consapevolezza) deve iniziare da questo, o almeno portarlo a termine molto rapidamente, altrimenti è inutile.
Anche se sembra dal tuo esempio del WTF che ti riferivi a testing sull'addestramento, che è molto diverso ... La formazione deve innanzitutto e innanzitutto affinare le informazioni.
Se il primo lavoro (che mostra perché è importante) è stato fatto bene, non è necessario testare il resto. Se non lo fosse, beh allora, non c'è davvero nessun punto, c'è? Le persone sempre trovano un modo per imbrogliare se pensano che non sia importante.
Inoltre, avere un allenatore interessante aiuta molto ... Ma non tanto quanto dare l'allenamento per un pranzo gratis!
Ho fatto questo in alcune delle più grandi banche, con molto successo - i dipendenti sono interessati a venire per il cibo (ma non solo panini semplici, intendiamoci); hanno ragione di stare in giro e non correre la prima possibilità che hanno, così si siedono e ascoltano; si stanno divertendo (gli studi hanno dimostrato che le persone si divertono quando c'è cibo in giro, vai a capire); e hanno le loro guardie mentali giù, a causa del cibo.
(Okay, questa è una strategia più che una politica, ma ... la politica sta facendo sì che i dipendenti vogliano la formazione e si divertano .
Una piccola aggiunta, di nuovo non tanto una politica di per sé, ma parte dell'atteggiamento verso la consapevolezza dovrebbe essere offrire soluzioni e < strong> praticità di quelle soluzioni.
Questo include naturalmente strumenti adeguati, risorse sufficienti per "fare" sicurezza, ecc
Sarebbe peggio che inutile se la gestione ha messo tutti a conoscenza della sicurezza, ma poi ha rifiutato loro di fare qualcosa al riguardo.
discovering all the answers in the raw HTML code
Non è un po 'difficile prendere sul serio la formazione sulla sicurezza, quando la formazione è così facile da sovvertire?
Per la revisione del codice di sicurezza relativa al lavoro o la revisione tra pari con feedback positivi è probabilmente il modo migliore.
Quando si arriva a questo, assumere dipendenti che si prendono cura è la politica più importante seguita lasciando andare quelli che non gli interessano. Nulla impedisce alle persone di badare, più velocemente di vedere i colleghi che vanno via con cattive pratiche di sicurezza nonostante il loro manager ne sia a conoscenza.
Garantire che qualsiasi politica di sicurezza non sia così draconiana da impedire alle persone di svolgere effettivamente il proprio lavoro. Questo è particolarmente vero se stai inserendo nella lista nera / siti greylist.
Ad esempio, una società per cui ho lavorato ha Google nella sua greylist. Ciò significava che i dipendenti avevano solo una quantità limitata di tempo per cercare su Google prima del termine del "tempo di contingenza". Questo poteva andar bene quando la compagnia lavorava con un linguaggio proprietario, ma scrivere .Net senza poter usare Google è un vero dolore (e no, MSDN non è un sostituto adeguato). Questo, combinato con l'opacità del processo mediante il quale i siti sono stati aggiunti alla whitelist, ha suscitato molto risentimento e sovversione della policy.
Applicare rigidamente la politica di sicurezza. Se si dispone di una politica di sicurezza chiara e ben definita e si disciplinano severamente i dipendenti che aggirano / ignorano la politica, abbastanza presto cadranno su se stessi per essere più consapevoli di ciò.
Sembra un po 'duro, ma una politica di sicurezza senza denti è peggio di nessuna politica di sicurezza.
Le persone odiano la formazione sulla sicurezza perché non pensano che sia rilevante. Per molte persone, i rischi sono molto astratti. Se metti a rischio le persone a un livello che possono comprendere e fornisci loro l'istruzione e le informazioni su come meglio attuare i loro posti di lavoro in linea con la politica aziendale, tutto sarà più efficace.
Quando la conformità viene definita chiaramente come parte degli obiettivi di rendimento dei dipendenti, è difficile per un dipendente dire "no".
Leggi altre domande sui tag user-education corporate-policy