默克CISO:如何做好全球6万员工的安全意识培训
随着全球网络攻击的常态化和复杂化,如何提升全体员工的安全意识,已成为跨国/出海企业面临的重要课题。作为拥有6万余名员工、业务遍及60多个国家的科技企业,德国默克集团(Merck Group)的首席信息安全官(CISO)Volker Buß近日在接受CSO采访时分享了他们在全球范围内开展员工网络安全意识培训的经验和心得。
Buß强调,企业若要提高网络韧性,离不开一个覆盖全面的培训与意识提升项目,它能够让每位员工增强警觉并掌握识别和降低风险的工具。
全方位培训:课程、多样演练与线上平台
默克集团构建了一个全方位的安全意识培训项目,内容涵盖基础课程学习、钓鱼邮件模拟演练以及多种线上互动工具。首先,每位新老员工都需完成IT安全意识在线课程,课程根据全球员工需求提供10种语言版本,以确保各国家地区员工都能无语言障碍地理解关键安全准则。
这些在线课程覆盖密码管理、移动安全、数据隐私等主题,并通过视频、测验等形式增强趣味性。据悉,2023年默克员工的安全意识在线课程完成率高达99%,体现出培训要求的严格落实和员工的积极配合。
在课程之外,默克每月都会针对全体员工开展仿真钓鱼邮件演练。安全团队精心设计逼真的欺诈邮件发送给员工,借此考验大家的警觉性。员工需要判断邮件真伪并及时报告可疑邮件。
通过这种寓教于战的方式,员工逐步熟悉各类网络钓鱼手法。据介绍,这些模拟攻击的反馈数据会用于分析员工的识别率和点击率,以持续优化培训策略。例如,员工在钓鱼测试中的识别能力已随着培训逐年提升,大部分员工如今都能成功识别并避免钓鱼陷阱。
除了钓鱼电邮演练,默克的安全团队还推出“网络安全英雄”系列视频,以真实案例演示正确的安全行为,将晦涩的安全策略转化为直观的,员工日常工作场景中的具体实践。员工可以通过公司的在线学习平台观看这些短片,并参与随附的知识问答,从而在娱乐中巩固所学。
为支撑全球范围的一致培训,默克部署了一套统一的线上培训平台和工具。该平台由集团信息安全团队管理,员工可随时登录查看必修课程进度、参加新推出的培训活动,并获取最新的安全提示。在各子公司和分支机构,默克还安排了本地的信息安全或数据隐私专员,配合执行集团的培训计划。
这些本地专员会根据需要为特定团队提供额外辅导,例如针对研发人员的数据保护培训,或针对高管的专项安全讲座。统一的平台加上本地支持,确保了“培训策略全球一致,执行因地制宜”——无论员工身处欧洲、亚洲或美洲,都能接受到水平一致的安全培训,又能结合本地业务背景进行消化吸收。
“Love Security”:用粉红之心传递安全理念
在默克,安全意识培养不仅停留在课程和测试层面。一场名为“Love Security”的创意活动将网络安全融入员工文化,以一种耳目一新的方式传递安全理念。
据Buß介绍,传统的安全培训往往侧重技术层面的警示和规范,而“Love Security”则“刻意走“情感化”路线”,希望以更柔和正面的方式影响员工。
_图:默克集团CISO Volker Buß倡导“Love Security”理念,用粉红色爱心元素让网络安全意识深入人心。默克将各种安全宣传材料都加入了醒目的粉红爱心图案,并在内部广泛张贴海报、分发印有爱心标志的周边纪念品。通过这样的视觉设计,抽象冰冷的“网络安全”主题被赋予了亲切、有爱的标签,拉近了与员工的距离。
在宣传方式上,“Love Security”同样别出心裁。默克内部通讯平台上开辟了专题栏目,定期推送寓言小故事或漫画,以轻松幽默的笔触阐释安全要点,并在结尾嵌入“Love Security”的标识让人印象深刻。
公司还举办了线上有奖问答、线下安全日等活动,鼓励员工积极参与互动。例如,在安全日活动中,员工可以佩戴带有粉红爱心Logo的徽章,参与现场的安全知识闯关游戏,赢取“Love Security”主题的纪念品。这种将安全教育与趣味互动结合的做法,极大提高了员工的参与热情。Buß表示,“Love Security”旨在让每一位员工都感受到自己是公司安全的一部分,并相信自己能够为安全做出贡献。这种正向激励的理念,正是默克安全文化建设的一大创意亮点。
跨国统一:全球策略与本地执行并重
对于像默克这样员工遍布全球的企业,如何在不同国家推行统一的安全意识培训,是一项不小的挑战。为此,默克集团由CISO办公室统一制定全球安全意识培训策略,涵盖年度培训计划、课程内容标准和考核指标等,然后通过区域和本地团队协同执行。
一方面,默克确保核心培训内容全球一致。无论是在德国总部还是中国、美国的分支机构,员工接受的基础网络安全课程框架相同,涵盖公司的安全政策、合规要求以及应对常见威胁的技巧。这些统一课程通过线上平台提供,并支持多语言,以适应全球员工。比如集团规定每年所有员工都必须完成指定的安全意识在线课程和钓鱼演练,不因所在国家而有例外。
另一方面,在执行层面,默克注重因地制宜的灵活性。集团在各主要区域设立了信息安全负责人(Information Security Officer)或安全大使,形成覆盖全球的网络。他们深谙当地业务流程和文化,在落实培训时会结合本地实际进行调整。
例如,欧洲团队可能侧重GDPR相关安全教育,而亚太地区会加入移动设备安全、本地语言诈骗案例等内容补充。此外,本地团队还负责解答员工疑问、收集培训反馈,将一线声音反馈给总部,以便持续改进策略。这种全球统一指导与本地自主调整相结合的机制,使默克能在保证总体安全水平的前提下,照顾到各地员工的特殊需求,真正实现“One Merck”的安全文化。
培训成效:数据衡量与持续改进
衡量安全意识培训的效果,默克制定了一系列量化指标和跟踪机制,以确保投入产出清晰可见。首先是仿真钓鱼测试的结果数据。
安全团队每月统计各地区员工在模拟钓鱼演练中的表现,包括有多少人错误点击了钓鱼链接、多少人成功识别并报告,以及总体的钓鱼邮件识别率等。通过纵向比较,这些指标清晰地反映出员工警惕性的提升趋势。
事实证明,随着培训的深入,员工在钓鱼测试中的平均点击率逐年下降,识别率不断上升。例如,据内部统计,相比项目初期,现在绝大多数员工都能识别出假冒邮件而不上当受骗。
默克员工在仿真钓鱼邮件测试中的平均识别率随时间明显提高,从最初的约80%提高到95%以上。这表明经过持续培训,员工识别可疑邮件的能力大幅增强,从而降低了真实网络钓鱼攻击成功的可能性。随着员工防范技能的提升,由钓鱼导致的安全事件发生率也相应减少。
其次是培训参与度和覆盖率。默克要求每位员工定期完成规定的培训课程,并将完成情况纳入绩效考核。得益于高层重视和明确要求,近年来集团安全培训的完成率始终保持在接近100%的高水平。
例如2023年,全公司数万名员工的必修安全课按时完成率达到99%。如此高的参与率意味着安全意识已经深入人心,员工普遍愿意投入时间学习安全知识。此外,公司还通过内部调查收集员工对培训内容的反馈满意度。
据悉,多数员工反馈这些课程和演练“实用、有趣,不枯燥”,尤其是结合真实案例的视频和互动问答环节,使他们印象深刻,在实际工作中更敢于提防可疑情况。
更为重要的是,安全事件的统计数据也体现了培训带来的积极变化。Buß透露,自他上任以来,默克集团尚未发生过严重的网络安全事故,他本人在默克任内也没有亲身经历重大网络攻击。而在一些小规模的安全事件中,员工得益于培训及时发现并阻止了潜在威胁,避免事态扩大。
公司每半年会将网络风险和事件数据汇总向董事会报告,其中由人为失误引发的事件数量逐年下降,安全团队将这视作员工安全意识提升的直接成果。可以说,一系列数据指标勾画出默克安全文化建设的成效图景:员工更警觉了,事故更少了。
员工文化:反馈与CISO的安全管理哲学
在默克,高层对安全意识培养的投入也收获了员工文化层面的回报——那就是一种全员参与的安全文化正在形成。
许多员工表示,相较以往生硬的规章制度式培训,如今的安全课程和“Love Security”宣传让他们对网络安全的理解更加直观深刻。在内部社交平台上,关于如何防范最新网络骗局的帖子讨论热烈,员工之间会主动分享安全提示,“安全”正从IT部门的专业术语变成全体员工日常交流的一部分。
这背后离不开CISO Volker Buß所倡导的管理哲学。
Buß认为,公司安全不应再是“城堡里高举宝剑的骑士”式的孤军奋战,而应成为业务的合作伙伴和赋能者。他强调要抛弃单纯管控和命令的旧思路,而是通过与各业务部门的对话共同制定务实高效的安全策略。
在他的推动下,安全部门积极融入业务流程,倾听一线员工的需求与困难,将安全措施设计得更贴合实际工作场景。这种自上而下与自下而上相结合的沟通,让员工对安全政策从“被动接受”转变为“主动拥护”。
Buß表示,安全文化的核心在于每个人都成为安全的参与者,当员工意识到自身能够也应该为公司的数字安全尽一份力时,安全就不再是一句空洞的口号。
正是在这种理念指引下,默克的安全意识培训摆脱了传统说教的刻板印象,转而以员工乐于接受的方式扎根于企业文化。从丰富多样的培训项目,到创意十足的“Love Security”文化活动,再到严格的数据衡量与持续改进,默克集团CISO带领团队探索出了一条行之有效的全球员工安全意识培养之路,为业界提供了宝贵的经验参考。作为一家拥有350多年历史的老牌企业,默克在数字时代的安全文化创新实践,或许正是其长盛不衰的又一秘诀。
参考链接:
- https://www.merckgroup.com/en/sustainability-report/2023/_assets/downloads/entire-merck-sr23.pdf
- https://www.csoonline.com/article/3964803/eine-krisensituation-erfordert-klare-entscheidungen.html
END
