漫谈信息安全风险意识

“合规运营只是信息安全的驱动力之一。”国家互联网信息办公室人事局一名不愿透露姓名的工作人员指出:“使用基于风险管理的方法来推动工作,才是将信息安全与公司治理及商业战略很好结合起来的不二法门。”

让我们来谈谈风险,导出不穷的信息安全事件,似乎不断提醒着人们,互联网不安全。同样,在公司范围内,安全管理团队也经常将风险挂在嘴边,不仅仅是赶时髦,而是在使用科学的方法,来平衡风险与收益,平衡安全与效率。

信息安全事件的层出不穷的背后真正原因是什么?

互联网发展迅猛,对传统商业模式、生活方式带来了彻底的改变,在巨大的挑战面前,我们很多组织都在不断探究着新的商业模式,以期借助灵活的商业模式和快速多变的运营方式,发现新的业务增长点、提高效率和提升竞争力。昆明亭长朗然科技有限公司信息安全咨询师董志军指出:在这个过程中,新的产品、新的服务会不断推出,风险当然也随之而来。风险管理实践的滞后,是信息安全事件导出不穷的根本原因之一。

企业应如何建立健全信息安全管理体系呢?

对于不同类型的组织机构,建立健全信息安全管理体系的方法是通用的,但是亦要考虑到合规因素。因为这不仅仅是一个市场的力量,比如一家国有控股集团与一家外企,在方法论上是类似的,但是在管理体系模型和框架的选择上,可以有不同的风险偏好。通常来讲,国企偏好使用等级保护准则,而外企偏好使用ISO等国际标准。

如何有效管理和降低安全风险呢?

关于如何识别、评估和应对安全风险,其实不用我来多说。董志军笑称:做信息安全管理工作的如果连这点基础理论都不了解,那真是混混了。关键的问题并不在于您懂不懂风险管理,而在于实践。与商业目标结合起来,尽我们的努力,使信息安全不再是商业拓展的绊脚石,而是促进商业的护佑队。

说到底,在参与新项目、新事业的过程中,我们要尽量避免拒绝任何事情,并把所有的事情作为基于风险的决定。这样相关的利益相关者才能根据我们给他们的信息做出实际决策,而不是他们期待我们批准或不予批准。这样,我们所持有的风险观点都保持不变,但是他们对风险的态度会因业务而有所不同。

对风险的应对,无非就是转移、接受、消除和降低,投资信息安全控制措施,来降低风险,显然是最为常见的做法。切记,纯技术不能解决风险问题,工作程序或流程亦不可少,另外,人永远是风险控制中的核心环节。如果人员缺乏有效的风险管理意识和思维,将会导致业务模式设计、系统架构和运营管理等方面从源头上就失去前瞻性考量,造成后期不断暴露出安全漏洞和风险。

如何让商业用户拥有风险意识?

在谈论商业目标和风险控管措施的投入产出之时,我们不仅仅要考虑到应该部署的软、硬件产品和解决方案,也应该知道如何通过投资于人员的风险意识来获得安全回报。董志军指出:在公司全体职员中建立风险意识和风险管理职责,是成本最低且最有效的风险管理措施。

风险意识是与人们的日常生活和工作息息相关的东西。美国哲学家和教育家杜威说:教育应该以生活为目的,在生活的情境里,透过生活去达成。自然,在日常生活和工作中来强化用户们的信息安全风险意识,是最为恰当的场所和做法。

对我们来说,对职场人员进行风险意识教育,非常重要的方法就是分享经验和讲故事。身边人的经验和故事,往往能够引起人们的共鸣,恰当使用这种方式,会让人们永远难以忘记。当然,讲故事和分享经验不仅需要有一个好的口才,更需要能够灵活把握受众的心理特点。

另外一种选择则是使用对话型或故事案例型的动画视频,权威调查表明,那种视觉的冲击、幽默的对话片断,会引发人们大笑,精心勾画的故事片,亦能让受众久久难以忘却,继而沉思信息安全和风险问题。

结语

信息安全事件影响的不只是业务运营的持续性和效率,更有财务上的损失以及声誉上的损害,进一步将影响到客户的安全感和对公司的信心。在信息安全是公司治理的一部分,应该使用风险管理的思维。不管是对商业决策层、安全管理层,还是普通职员,都应该拥有一定的信息安全风险意识。

员工的风险意识和思维,影响风险管理的成败与否。我们必须提高全员的信息安全风险意识和认知,将风险管理的重要性提升到公司生死存亡的高度。使用分享经验和讲故事的方法,借助对话型或故事案例型的动画视频,是提升员工的信息安全风险意识的好方法。

昆明亭长朗然科技有限公司专注于提升人员的信息安全与风险防范意识,我们推出了大量的对话型和故事型信息安全动画视频,欢迎有需要的或有兴趣的朋友联系我们,洽谈合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

信息安全意识教育“对话体”教程面世

infosec-dialogue
在我们对比中西方文化起源及兴盛的历史之时,不可否认的是“对话体”的重要贡献。语录对话体式的《论语》引发了先秦诸子“百家争鸣”的良好局面,“子曰”之类的形式对后世几千年来中华文明的传承及发展无疑有着极为重要的意义。基督教的《圣经》中存在大量对话体,还有西方几个大的思想家、哲学家苏格拉底、柏拉图和亚里士多德的思想都以对话的形式流传。佛教的经典著作《金刚经》也都记载着记载了释迦牟尼佛祖与大弟子须菩提的对话。

这是历史的巧合么?昆明亭长朗然科技有限公司的信息安全教育顾问James Dong认为:圣人们的教育方式很相似,他们不使用填鸭式的硬塞方法,而采用对话体的方式。对话体的方式有什么优势呢?典型的是形成启发性思维,让思想观念在碰撞之中产生。

然而,两千年来在皇权统治之下,人们的思想被禁锢,对话体的教育形式受到冷落,死记硬背成了常规手段,人们的创新思维能力也被压制,这显然不适合当今社会发展需求。要解放思想,敢于突破,实现科学发展,最重要的是不要再搞“一言堂”,而是大胆突破,勇于尝试使用“对话体”方式用于内部事务的沟通协调。

结合信息安全管理来看,要在组织范围内推进信息安全管理措施和计划,需要得到高阶管理层的赞助和承诺,也需要得到全体员工的理解和支持,这要靠什么?靠内部沟通协调,要开展富有成效的学习讨论活动,而不仅仅是发个通知就希望能获得好的结果。

传统上的信息安全沟通仍然过于依赖正式发公文的渠道,这些多数是单向的信息安全政策与流程的灌输,员工们在第一时间会认为“洗脑”的东西又来了,从心底便生出厌恶甚至抵抗的情绪,显然会令沟通效果大打折扣。

在社交媒体及移动终端普及的今天,交互式的沟通渠道逐渐流行,然而在内容上面,仍然比较缺乏“对话体”式的资源。在企业级的信息安全沟通领域,更是如此,传统的小册子、宣传页、宣传画往往只是图片配以信息安全该如何做的“结论”性文字,这显然无法获得最佳的沟通和教育效果。

昆明亭长朗然科技有限公司将大量的信息安全案例转换成“对话体”的方式,并不急于提出“结论”而是通过迷离的案情、生动故事和精彩会话来吸引员工们的浓厚兴趣,启发员工们的认真思考,营造良好的信息安全思想氛围。具体的交付方式包括漫画、场景会话、三维动画、互动测试等等。

如果您有兴趣在单位内部使用这种回归经典传统的安全意识教育方式,欢迎联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898