新員工在安全方面成功入職的7個關鍵步驟

Capital One公司首席執行官Jerich Beason表示，“辭職潮”等同于“入職潮”。 他在一篇帖子中寫道，“如果你是網絡領導者，今年很可能會招聘新人才。根據我的經驗，這為新員工入職時就為他們的今后的工作定下了基調，不要掉以輕心。給他們留下第一印象的機會只有一次。”

他說，入職期間要處理的關鍵任務包括概述安全愿景、使命和核心價值觀，以及引導新員工了解安全戰略和路線圖。

其他首席信息安全官也贊同Beason的見解，并聲稱讓新員工快速有效地加入企業的網絡安全計劃至關重要。

TalentLMS公司和Kenna Security公司的2021年報告指出需要關注這一領域。他們對1200名員工的網絡安全習慣、最佳實踐知識和識別安全威脅的能力進行了調查，發現盡管69%的受訪者接受了雇主的網絡安全培訓，但61%的受訪者表示在這些主題的基本測試中失敗。

資深安全領導者表示，從員工入職的第一天開始，就有辦法讓安全培訓更有效。他們提供了七種關于如何使安全入職更有效的策略。

1.確保他們知道網絡安全是工作的一部分

新員工需要了解大量信息，因此他們在入職過程中保留高度技術性數據或非常詳細流程的能力可能會受到限制。

SANS研究所安全意識和培訓項目的技術總監Lance Spitzner說，“當新員工入職時，有些人可能會不知所措，而他們有一份新工作、新技術、新老板。”

因此，Spitzner建議，與其一次性提供所有必要的網絡安全培訓，不如傳遞關鍵信息，也就是為員工在安全方面負有責任。

他說，“我們不希望這些人認為，‘我們有防病毒軟件，有安全團隊，所以我們在安全方面做好了準備。”他指出，最有效的入職程序是設定期望和培養安全意識。他補充說，“他們確保新員工知道網絡安全是自己工作的一部分，這不僅僅是網絡安全團隊的工作，他們和其他人一樣對此負責。”

2.確保新員工知道如何安全地完成工作

鑒于新員工獲得的信息量巨大，資深的首席信息安全官表示，召開有效的安全會議專門教會他們如何開始工作，并確保他們掌握了這些基本安全知識。

Protiviti公司安全和隱私實踐部的常務董事Andrew Retrum說，“我看到一些員工入職安全意識培訓非常籠統，當他們結束培訓時，就會有一些指向特定公司政策的鏈接以及發生安全事件之后的聯系信息，以及指向安全的鏈接門戶網站。如果我是新員工的話，這樣的培訓并不是很有用，實際需要的是在幻燈片上提供安全工具的詳細信息。”

他表示，與其相反，入職培訓應該圍繞向新員工傳授具體的安全特征、功能和工具，以及企業關于安全電子郵件、正確分類數據、與第三方安全交換受保護信息以及以安全方式處理其他典型任務的政策。

Retrum說，“這需要清楚地表達出來，所以當員工開始他們的日常工作時，他們知道如何安全地完成。”

3.讓員工參與

資深的首席信息安全官的另一條相關建議：不要空談，而是讓他們參與。

JAMS公司負責信息安全的副總裁兼首席信息安全官 Rich Lindberg說：“我們都要對安全負責，也是安全成功的一部分。我們都必須在這方面共同努力。但接受這種理念歸根結底是向他們表明展示他們的重要性并建立聯系。”JAMS公司是一家提供替代爭議解決服務的企業，也是美國信息管理學會(SCSIM)南加州分會的咨詢委員會成員。

為了建立融洽的關系，Lindber表示他或他的團隊成員將會花費時間與新員工進行溝通。

他說，“我可以為他們提供信息簡報，或者讓他們遵守一些規則，但與其相反的是，我們可以為他們提供幫助，并在他們需要幫助時隨時聯系我們。我對待新員工就像對待客戶一樣，并確保提供高水平的服務。”

4.為員工量身定制入職培訓

全球科技商Insight Enterprises公司副總裁兼首席信息安全官Jason Rader表示，針對新員工的大部分信息傳遞都是跨組織的標準信息，但首席信息安全官需要的不僅僅是通用培訓模塊。

Rader說，“我們已經收到了反饋，這些模塊可能過于通用，以至于它們毫無用處。”他解釋說，現成的培訓選項可能滿足合規性要求，但不一定配備具備安全運營所需知識的新員工。

他看到培訓課程使用的視頻僅說明“遵循公司的自帶設備政策”和“遵循公司的密碼政策”，而沒有提供實際政策。

因此Rader表示，他會注意用更多特定于Insight Enterprises公司安全計劃的信息來補充基本的入職材料。他補充說，“我正在努力使入職材料更加具體，我還和首席信息官探討其作用。”

同樣，Retrum建議首席信息安全官根據需要更新他們的培訓。正如他所指出的那樣：“風險會發生變化，因此18個月前的內容可能與現在無關。”

例如，他看到安全培訓側重于物理安全，但沒有提到網絡攻擊者通過短信進行欺騙和釣魚，網絡攻擊的風險正在上升。

5.以標準化方法涵蓋基礎知識

微軟首席安全顧問、曾任首席信息安全官和入職安全檢查表的作者Terence D.Jackson表示，他遇到過一些企業的員工的安全入職是以臨時方式完成的。

他回憶說，“它沒有實現正式化，更多的是部落知識，沒有正式文件或培訓材料支持。”

Jackson和其他人警告不要使用這種方法，并且不要假設當今的員工對網絡安全有基本的了解。

他們強調需要以標準化、可重復的方法涵蓋安全基礎知識，以確保每個人確切地知道對他們的期望，無論他們在勞動力中的角色、經驗和年齡。

Rader說，“不能指望某人遵守他們不知道的規則。”

Beason表示，CapitalOne公司通常會招募各種經歷的員工，但他們過去的經驗并不能保證會知道企業對他們的所有期望。

他說，“我們希望新員工知道我們公司的期望，因為每家企業在安全方面的要求并不一樣。因此，在新員工進入企業的工作環境之前，希望確保他們能夠安全地在這一環境中運行，以便他們了解最佳實踐和可接受的使用方式，如何使用電子郵件，以及企業對他們的期望。企業需要向他們提供這些基本知識。”

6.為個人和角色量身定制培訓

盡管圍繞基本安全元素的信息應該是一致和標準化的，但一些首席信息安全官表示，他們已經成功地以不同格式共享這些信息。

Jackson說，“這是一種基線方法，能夠根據個人的需要進行調整，并從中構建。我相信最好的項目都包含了這種心態。為員工提供他們需要的方式;更加靈活地滿足他們的需求。這樣做的項目往往比那些一刀切的項目更受歡迎。”

Jackson指出了他的入職經驗，就是讓新員工可以閱讀或收聽培訓材料或同時閱讀和收聽。他表示，他喜歡收聽培訓材料，但在接受更復雜的信息時更喜歡同時閱讀和收聽。

此外，成功的入職培訓計劃傾向于為角色和業務部門量身定制培訓材料，并使用培訓工具讓新員工快速了解他們的企業安全，以便他們可以將更多注意力集中在培訓材料上。

他補充說：“企業盡量以員工為中心。”

7. 將入職培訓作為持續培訓的一部分

IT服務管理商Genpact公司的高級副總裁兼首席信息安全官Ram Hegde認為，給新員工的安全信息應該是輕量級但有效的信息。

和其他人一樣，他認為新員工在開始工作時無法吸收他們獲得的所有材料。

Hegde補充道：“因此，現在可能不是讓他們接受大量材料或計劃完成大量工作的最佳時機。因此需要考慮基礎培訓，關注最大風險。”

考慮到這一點，他使用了一個在線互動培訓模塊，讓新員工能夠快速瀏覽他們已經了解的材料，并花更多時間了解新信息。

他說，“這確保他們得到他們需要的東西，但它不會讓他們超過必要的時間。”他補充說，對以前使用的材料有反饋，這些材料冗長、無聊和多余，而所有這些都促使企業轉向到更短、更吸引人的模塊。

隨后，該公司采取了后續行動，為新員工提供了更詳細的培訓，幫助他們適應工作。

Hegde解釋說，“對我們來說，我們希望確保首先觸及關鍵方面，考慮到各種背景，然后在下游，根據員工的情況進行更有針對性的安全培訓。”

其他人強調這種方法的重要性，指出它與廣泛持有的最佳實踐相一致，即安全意識培訓不是一種一勞永逸的做法。

Spitzner說：“無論互動性如何，都無法在30分鐘的培訓中建立良好的安全行為。因此，確保新員工具有安全方面知識的關鍵是在他們的整個職業生涯中進行持續培訓。因此，當他們加入企業時，告訴這是他們的責任，只要員工在公司中工作，就會不斷接受網絡安全培訓。這種持續培訓才是真正構建安全文化的基礎。”