浅谈信息安全意识的重要性及实施战略

您的企业是否有员工?如果是这样,信息安全(意识)对于您在虚拟犯罪日益增长的行业中保持生存至关重要。当然,大多数人都知道网络黑客,黑客入侵网络、盗窃他人虚拟身份和机密信息、甚至进行破坏,这些事情几乎每天都会出现在新闻中。组织可以通过安装网络防火墙、防病毒软件以及实施全面的网络安全防御系统来保护自己免受在线威胁。

问题是:如果没有嵌入式的信息安全意识和执行文化,所有这些花哨而昂贵的系统能给您带来的好处都不会太多。对此,昆明亭长朗然科技有限公司信息安全意识培训讲师董志军表示:员工是您组织在网络安全领域里最薄弱的环节。它被称为“人为因素”。在云计算时代,犯罪分子知道访问安全网络或窃取数据的最简单方法是针对已经拥有访问权限的员工发起攻击,只要窃取了目标员工的登录凭据,便可进一步渗透,获得很多关键成果。

为什么信息安全意识如此重要?

您是否知道90%的系统安全漏洞是由于人为错误造成的?更为重要的是,只有40%的全球组织表示他们已准备好应对复杂的网络攻击。更糟糕的是,多达50%的公司表示他们在过去一年内内经历过一次或多次攻击,而这个数字每个月都会上升。

社交工程是网络犯罪分子当前最喜欢的策略,这种策略是对受害者进行心理操纵,以说服他们自愿或无意地提供私人数据,然后将这些私人数据用于邪恶目的。另一个突出的技术是网络钓鱼,即将事先构建的虚假电子邮件或链接传播给员工,然后获取他们的登录凭证如账号、密码、Cookie等。事实上,目前,90%的网络攻击源自网络钓鱼诈骗,因此网络钓鱼意识培训至关重要。

除了这两个,恶意软件也是一个持续的威胁,人们随意下载的应用程序或软件旨在危害他们的设备或提供黑客远程访问网络。为什么人们要随意下载应用程序呢?一方面是安全规章制度得不到落实,另一方面是人们没能意识到随意下载软件的危害。

哪些人员应参加信息安全意识培训课程?

您的员工是您防范网络犯罪的第一道防线。这就是信息安全意识培训发挥作用的地方,为您的员工提供保护自己免受犯罪分子侵害所需的知识和技能。

所有可以访问与工作相关的计算机或移动设备的员工、供应商与合作伙伴人员都应接受全面的信息安全意识培训。在今天这种信息化时代,这意味着几乎所有人,因为所有的人员都可能成为攻击者的目标。这些人的手机可能仍然拥有可用于访问内部网络的数据。或者,如果员工成为身份盗用的受害者,他们的独特信息可用于创建与您的品牌链接的虚假个人资料,从而允许实施五花八门的欺诈行为。

通过为所有员工提供信息安全意识和培训,您可以在网络攻击或在线欺诈完全实施之前对其进行识别和阻止,从而最大限度地减少对您的品牌的损害并降低恢复成本。同时,对大型复杂的机构而言,与第三方进行数据交换的业务流程可能会很多,通过对员工的信息安全意识培训,可以辐射到供应商与合作伙伴。

信息安全意识培训的花费如何?

培训费用因提供机构、他们的标准以及接受培训的员工人数而有很大差异。成本中包含的一些常规的内容如课程材料、讲师配置、设施设备、测试及报告、以及外部技术服务。当然,安全意识培训的方式和方法多样,因而培训价格是可调整的,通常来讲都是根据预算情况,灵活安排培训强度水平,以确保培训活动符合行业法规。

举例来讲,五十名学员的机构往往只需花费五千元进行一次全面综合的在线信息安全意识培训。而拥有五万名学员的机构,可能会考虑更为多样的信息安全意识培训活动,包括线上电子学习、安全意识评估、模拟网络钓鱼和线下互动式活动。对此,昆明亭长朗然科技有限公司信息安全意识培训讲师董志军称:其实我们很多客户在培训方法战略上,比如该外包服务还是自行实施,该采用哪种形式,都有大致初步的想法,这些都是和其培训环境、安全势态、预算情况、人员能力等等现实条件分不开的。

信息安全意识培训内容如何设计或选用?

在制定了适用的培训方法和战略之后,便可进行信息安全意识培训内容创作或采购,通常来讲,您熟悉组织内外的情况,最为了解需要哪些安全意识培训主题,但是在内容的设计创作方面,您往往没有太多的精力,这些更适合交给专业的创意机构或信息安全意识培训公司来进行。

昆明亭长朗然科技有限公司拥有丰富的企业安全管理及顾问咨询经验,可以帮助各类型企业建立适当的信息安全意识宣教计划,以及向员工提供必要的标准化和定制化的信息安全意识教育活动。欢迎有相关需求的,或者有兴趣合作的人员与我们联系。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

移动科技及持续性威胁推动信息安全管理创新

大数据、云计算时代来临,CIO及IT总监经理们越来越发现要赶上变化响应时代潮流并不容易。

在整个IT团队中,总监经理们往往能站在业务及IT战略的高度看待IT未来的巨大变革,但是在具体的工作目标的制定和分解、以及战术的执行上会遇到困难,这是因为,新形式下,IT部门需要更多复合型以及实战型的人才。

传统的IT大分工,一个萝卜一个坑,让IT专业人员只需专注其相对狭小的领域,总监经理们便可轻易掌握全盘,传统的基础架构(数据中心、网络、通讯、语音、服务器)、应用程序(分析、开发、测试、运营)和最终用户支持(监控中心、客服中心、桌面支持)为主的几大主要职能在新技术的考验面前需要被重新构架。

简单举例来讲,企业要上无线终端应用,安全问题如何得到解决,需要三大部门协同探讨,如果没有跨部门工作经验的实施人员从中沟通协调和推进,即便项目能够完成,也往往会留下严重安全漏洞。

再举例讲,如果准备向云计算迁移,在如何迁移数据方面,应用程序部门会首当其冲,基础架构部门则要评估带宽需求和保证必要网络安全,而最终用户支持部门则要考虑对最终用户的影响,以便提供必要的用户操作培训,而CIO安全职能除了保障各系统安全之外,还要考虑诸如云服务的服务级别协议,安全法规遵循等等,甚至根据具体的案子,旧的数据中心、旧的服务器和应用程序的去留、监控和客户支持的流程变化等等都会随之而来。

窃取数据、进行破坏成为坏家伙们的主要动机,他们利用的不仅仅是网络基础架构和应用系统的安全弱点,更多是利用人性的弱点,比如借助社会工程学的网络钓鱼、电话诈骗和工作场所渗透等等,更有高级持续性威胁APT,一旦被盯上,几无逃脱可能。

CIO及IT总监经理们如何使IT战略与业务战略保持一致,如何顺应新形势的要求,如何才能获得复合性的人才,又如何应对新型的安全威胁呢?从外部雇佣高手或向员工提供交叉培训是必选之路,首先,让IT人员懂得基本的业务流程知识,让他们能用非技术的语言同业务部门员工进行沟通;其次,让不同IT子部门的经理主管们互相学习,采用交叉培训甚至轮岗的方式可以帮助强化沟通、发现问题和改进效率;最后,扩大T技术人员们知识领域,让他们的工作能力和经验可覆盖到周边职位,同时让他们互相切磋技艺,以便提高知识的全面性和提升动手操作的实践能力。

在结束之前,新的科技创新以及业务需求正在改变IT的组织架构,IT员工的角色和职责也需适应这种变化,一个萝卜一个坑、老死不相往来的时代已经完结,信息安全是所有员工的职责,各个职能的IT人员更需要加强信息安全理论知识的学习和实践经验的积累,向所有员工提供信息安全意识培训应该成为CIO和IT总监经理的重要任务。