安全意识教育的商业价值

安全意识对您的组织重要吗?昆明亭长朗然科技有限公司的一项开放式在线调查结果表明:少量用户20%认为安全意识“不重要”,和认为“非常重要”的19%几乎持平,而多达61%的受访者对此表示并“不关心”。这项公开的调查并不是一项性格测试,所以没必要对受访者进行严格的分类。总体来讲,安全意识对于受访者们来讲是“可有可无”,并非那么紧要的事务。

不少安全从业人员向我们抱怨称公司领导对信息安全的重视度不够,认为只要不发生影响电脑正常使用的恶意病毒事件就万事大吉,但是却重视员工的安全意识培训。安全专业人员对简单的信息安全意识受到高层“过度”的重视表示不理解,的确我们不能否认要搞好企业安全建设,专业人员所拥有的特别安全知识和技能是必需的。

安全专业人员的抱怨并非没有道理,但是也并不全怪领导“不重视”信息安全工作,毕竟领导们多不是信息安全专业出生,他们更不是这个领域的专家。领导们往往站在业务全局或所属部门的角度来审视信息安全,尽管他们对信息安全的认知可能并不足够,但是他们无疑更理解业务或部门对信息安全的需求。

安全专业人员也并非全都是业务方面的“门外汉”,基本的业务流程现多被信息化所驱动,信息安全专员多少都懂些信息系统基础,稍加努力了解一些业务架构和关键的流程,以及对IT安全方面的依赖,便可轻易成为又懂安全又懂业务的职场精英。昆明亭长朗然科技有限公司的安全顾问Alice Wong称:除非安全专家想往业务方面发展,否则多数情况是安全专家只想获得对他们的专业技能的认可和尊重。解决方案很简单——领导们在进行新业务或项目的调查分析之时,或在制定相关决策之前,向安全专家们咨询顾问一下。

安全专家们愿意为公司的成功更多付出专业方面的正能量,但是信息安全专家们显然不愿意也不会为员工终端层面的安全问题负责,他们会认为那些太小儿科,但是问题在于普通员工往往有更关键的工作——创造更多的商业价值,而不是成为安全方面的高手。矛盾出现了,安全专家们纠结了,身处管理层要负责的“领导们”必须得有所作为,他们要成为安全专家与终端员工甚至最终用户之间的沟通桥梁,他们需要让终端员工们掌握基本的必需的安全知识和技能。

信息安全专家,不管是技术方面的还是管理方面的,现在都应该认识到真正的问题和挑战,要为领导们所认可和接受,必须改变以往的傲慢立场,深入一线了解和评估基层员工们的安全认知水平,制定和实施必要的安全意识培训战略和计划……

而业务主管及高层的领导们则应该考虑到专家们所受到的限制,给予所需的必要的支持,让员工安全意识培训计划能够顺利地在整个公司或部门范围内得以顺利落实。

消费电子的普及迫使IT安全部门认真考虑移动设备的安全

最近一项由昆明亭长朗然科技有限公司赞助进行的企业信息安全状况调查表明:信息安全管理人员对是否允许员工自带计算设备BYOD的观点上呈现严重的对立。反对BYOD的受访者占43%,赞同的占51%,但是无论反对者还是造成者,几乎者认为员工会将越来越多的消费性电子计算设备带到工作场所。

尽管有99.8%的受访普通员工即使BYOD,仍然会使用组织提供的个人电脑,而88%会在他们的移动设备上存储业务相关的文档,这便给IT安全部门带来很大的压力,IT需要保护这些设备的安全使用,进而确保组织重要信息资产的安全。

而在工作相关的企业应用方面,邮件应用会广泛使用,95%的员工表明,只要邮件系统支持,他们会从移动设备上收发工作邮件,而这其中有96%表明并不会对这些邮件数据进行特别的加密保护。

实际上,对比我们身边的例子,早几年多数企业都已经开始为高管们开启移动邮箱功能,而现在的移动互联网应用日益成熟,不少组织已经专门为移动终端开启了Web邮件系统功能,同时移动邮件客户端程序也越来越多,移动办公成为趋势。

针对这种情况,亭长朗然的安全专家建议组织及早制定移动设备使用的政策和指南,不管反对还是赞同BYOD,都应该给员工们组织重视信息安全的清晰的信号,以及将移动设备用于工作事务所需遵循的安全标准及申请流程,而这其中,最重要是的加强沟通协调,以便员工理解和配合组织的移动设备安全使用政策。

移动设备平台多样化,应用也是五花八门,组织的安全管理负责人员在评估技术层面的安全控管措施的同时,应该加强对员工进行移动计算设备的安全使用培训,内容包括移动计算所面临的安全威胁及其会给组织带来的安全风险、组织应对移动设备安全风险的总体对策、员工应该如何使用移动计算设备进而保护组织的信息资产等等。

为了积极应对消费电子普及趋势给企业IT安全部门带来的安全压力,亭长朗然科技有限公司推出了移动设备的安全操作最佳实践培训课件,用于帮助IT安全部门通过向员工提供移动设备的安全意识培训,进而加强对移动设备上的信息数据的安全保护。