信息安全意识宣教闲谈

基于计算机的犯罪对我们来说并不新鲜。病毒已经和我们在一起超过20年了; 间谍软件也已经超过十年的历史; 大规模使用网络钓鱼可以追溯到至少2003年。究其原因,世界信息安全研究人员一致认为,信息系统的发展速度在不断发展和扩大,但不幸的是员工的安全意识计划落后于这个发展速度,故而计算机犯罪有了生存的空间。说到底,在线服务的迅速普及与安全文化的相应接受并不匹配。

因此,近年来,信息安全意识成为信息安全管理的几项关键工作之一。信息安全意识旨在加强人类对信息和信息安全风险行为的理解、信念和看法,同时理解和加强组织安全文化,作为快速演变的威胁的应对之策。例如,经合组织、欧盟、日本、美国都出台了信息系统和网络安全意识相关指南,它们往往包括一些普遍接受的原则:意识、责任、响应、道德、风险评估、安全设计和实施、安全管理和重新评估等等。

说到国家层面的宣教手段,美国发起了国家网络安全意识月——戏称网络安全“十月革命”,其传统盟国英澳加新等自然纷纷效仿,不甘落后。欧盟网络与信息安全局是欧洲网络安全专业中心,通过在社会中发展和促进网络与信息安全文化来协助内部市场的正常运作,为欧盟内部的高水平网络和信息安全做出贡献。它们也将十月定为网络安全月。日本将触角伸向亚太地区,在东南亚找来一众拥趸,领头搞起亚洲方面的网络安全宣传活动。不过亚洲各国远不如欧洲国家团结,没有中印大国及韩国的支持,场面冷清,日本这个“头儿”外语不大好,网络安全宣传力量和辐射度有限,明然不够称职。印度受英国文化影响较深,信息服务经济又很依赖美国,所以该国的信息安全意识宣教活动起步较早,也很西化,不过信息化的贫富差距较大,总体情况不如发达国家乐观。

中国是网络大国,国家网络安全宣传周,以“共建网络安全,共享网络文明”为主题。将围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛围。

回到组织机构层面,安全意识计划是组织可以采用的、以减少内部员工造成安全威胁的最佳解决方案。在安全责任方面,安全意识计划帮助员工了解信息安全不是其他某人的责任,相反却是所有人的责任和自己的责任。该计划还会明确强调,员工应对其网络身份所执行的所有活动负责。

即使组织尚未建立安全意识计划的标准方法,也应该了解到:良好的计划应包括对数据、网络、用户行为、社交媒体、移动设备和WiFi的使用、网络钓鱼电子邮件、社会工程和不同类型的病毒及恶意软件的认识。有效的员工安全意识计划应明确表明组织中的每个人都对IT安全负责。审计师应密切关注该计划涉及的六个领域:数据、网络、用户行为、社交媒体、移动设备和社会工程。许多组织有非常复杂的隐私保护政策,以至于很多员工总是无法理解这些法规。隐私政策是员工登录工作计算机时应该提醒的。隐私政策应更清晰、简短和标准化,以便更好地理解和实践。

组织可以为所有员工创建交互式活动,以便每周参加会议,讨论安全和威胁。交互式活动谈论的内容可能包括对新威胁、最佳实践、问题及答案的认识。

在执行力确保方面,如果组织不惩罚违规者,安全意识计划可能取不到好的效果。如果员工因违反计划,应向高级管理人员报告,以便采取进一步的惩戒行动,否则该计划将无效。信息安全部门可以比对行业模范进行差距分析,以找出该计划中的缺陷。

昆明亭长朗然科技有限公司是最早将信息安全意识引入国内的探索者和领航者,我们帮助各类型组织机构建立适当的信息安全意识宣教计划,以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。我们的信息安全意识宣教内容资源,及网络安全宣传周活动方案被多家大型机构所采用,欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

笑谈并深思信息安全意识计划

前几天同一位网络安全老同志聊起来,自然要推荐我司的安全意识产品及服务。对方深知安全意识的重要性,可是提到花钱,便连连摇头,称:有家传统的老牌网络安全厂商免费赠送信息安全意识素材给他们,当然前提是要购买该厂家的新型网络威胁防护装备或者安全技术保障服务。

很自然,老牌网络安全厂商根本看不上信息安全意识这项业务,也无心在这上面长期精心专研。当初创作了一些培训宣教内容,可能是受到行业竞争或整体环境的影响的跟风行为。现在看来,这些知识性的内容见效较慢,来钱也不快,特别是在很多国人觉得知识应该免费的观念之下,不容易成为一个新的“赚钱中心”。于是,该厂商转念一想,不如将相关内容素材作为赠品,作为安全技术的补充进行搭售。可能该厂商也有一些不光彩的想法,比如:万一安全技术系统或安全服务失效了,还可以说是客户的安全意识薄弱,因为没有很好地使用他们赠送的安全意识宣教素材。

为什么老牌厂商还会有这种不光彩的想法呢?昆明亭长朗然科技有限公司网络安全研究员董志军说:说起信息安全的成功要素,并非技术管控措施一项,更多的是管理,即流程、人员和技术的综合作用。即使人才济济非常重视技术产品开发的老牌网络安全厂商,也几乎都无一例外遭遇过多起严重的信息安全事故。因此,对于技术措施的不足之处非常明白,也非常想提升信息安全管理水平,好处无需多言:一方面强化内部管理,另一方面尝试对外服务。只是内部的安全极客们往往不服管理,再说制度过于严格容易造成人才流失;对外搞安全管理咨询和服务也不容易,小厂商怎么也赶不上大客户的企业管理水平,因此不好靠忽悠客户来钱。于是老牌的安全厂商干脆集中精力,极力研制及开发更多技术方面的安全控制产品,以期弥补和替代安全管理特别是流程管理和人员管理方面的需求。

这种做法有些有效、有些剑走偏锋、甚至也有些饮鸩止渴,最终造成安全业界越来越重视技术产品,而广大用户特别是社会大众得不到基本的安全知识科普。全社会层面的悬殊的安全认知水平差异,造成了扭曲的网络安全空间世界,也给网络诈骗分子很大的利好机会,当然网络黑客团体更是乐开了怀,他们知道终端用户的弱点明显,而且很多业务流程和管理体系有漏洞,这些弱点或漏洞都很难得到修复,很容易被利用。

最近“护网”运动非常热火,网络安全“攻防比赛”活动也很受欢迎,这对于提升安全界的技术水平非常有帮助。不过,分析多数的攻击成果,我们可以看见:利用社会工程学、网络钓鱼、诈骗邮件等方式的渗透测试占了很大比重,这些基本上可以划为人性的弱点;针对业务系统的攻击,主要集中在网站代码中的逻辑或流程错误,这显然也是软件开发管理的问题,以及开发人员的安全意识不足。很多网络安全厂商本身的产品也被成功渗透,关键还是管理和运维安全问题,例如:要么默认密码一直没有被更改,要么其运作的支撑环境被发现了安全漏洞而没有得到及时的更新。归根结底,网络安全厂商深知纯靠安全技术永远是不够的,然而在行动中,还是不断重复地用一个新的网络安全产品去控管另一项网络安全产品的弱点,从管理的角度看,这个逻辑多么可笑啊!然而从经济的角度来看,这种商业逻辑是再正常不过的了。您可能会问:难道客户智力低下吗?您这显然是外行的问题和不着边际的假想,您可以说他们是懒散的官大爷,但是永远不要低估甲方的聪明才智。

言归正传,保护数据应成为所有组织范围的信息安全意识计划的一部分。安全意识计划的交付方式应适合组织的整体文化,这样才能最大程度地影响人员的安全大脑。用于保持高水平的安全意识应作为一项持续进行的计划进行,要确保不仅要每年度每季度提供知识培训和宣传活动,更需要每月每周甚至每天都有安全意识流入。确保员工意识到数据安全的重要性对于安全意识计划的成功至关重要,并将有助于满足各种法规和标准的要求。

开发正式的安全意识计划的第一步是组建一个安全意识团队。该团队负责安全意识计划的开发、交付和维护。安全意识团队的规模和成员将取决于每个组织的特定需求及其文化,小规模机构内一人牵头各部门领导兼职足亦,大规模复杂的需求需要至少三五人员的专职工作团队加上各部门的领导以及安全意识联络员。

安全意识可以通过多种方式提供,包括课堂形式的培训、基于计算机的培训、基于移动设备的学习、电子邮件沟通、纸质的期刊文章、电子公告通知、海报漫画等。将网络安全意识内容定向到适当的受众,让其阅读并理解对于确保信息安全非常重要。通过多个通信渠道传播安全意识培训,组织可以确保员工以不同的方式多次接触相同的信息。通过将内容材料和沟通渠道定位于相关人员,安全意识团队可以改善对安全意识计划的采用。有效的安全意识计划的一个关键要素在于以及时有效的方式将相关内容材料交付给适当的受众。

基于角色的安全意识为组织提供了参考,以根据人员的工作职能对人员进行适当的培训。为包括管理层和基层员工在内的所有人员建立最低级别的意识基线是安全意识计划的工作起点。在确定基于角色的安全意识计划时,首要任务是根据个人在组织中的工作职能将其分组。通过分配安全意识责任计划,将职责细化到部门和人员,可以很大程度确保该计划的成功。比如:信息安全部门创作或采购适当的知识内容,建立线上学习平台和定期发布微信内容,各部门领导组织内部的课堂式培训,发动部门员工参加线上学习和微信移动学习,并加以考核;信息安全部门印制期刊漫画,各部门安全协调员进行部门内分发和张贴等等。扎实的意识计划将帮助所有人员识别威胁,将安全视为习惯于,并乐于报告潜在的安全问题。

高阶管理团队对安全意识计划的支持对于成功至关重要。部门(中层)管理人员应该:

  • 鼓励下属人员积极参与安全意识学习活动,并在工作中进行实践。
  • 对适当的安全意识流程和做法进行表率,以强化安全意识学习。
  • 将安全意识指标纳入管理和员工绩效评估之中。

如上所述,建议根据角色和组织的文化确定培训内容。安全意识团队可能希望与适当的业务部门进行协调,以对每个角色进行分类,以确定这些特定工​​作职责所需的安全意识培训的水平。这对于内容开发至关重要,以避免员工“过度培训”或“培训不足”。除了一般的安全意识培训以外,建议人员根据其在组织中的角色,触及信息安全的一般概念,以促进整个组织范围内的信息安全。当然,为了确保意识影响行为,安全意识培训还应包括有关违反信息安全政策的后果的详细信息。

此外,管理层不仅应了解信息资产未能得到充分保护可能带来的金钱损失,而且应了解声誉(品牌)损害对组织造成的持久伤害。管理层需要充分了解安全要求,以讨论和加强安全要求,并鼓励人员遵循这些要求。建议对管理安全意识进行在线式的培训以及课堂式的研讨会互动,包括与责任领域相关的特定内容,尤其是可以访问敏感数据的领域。总之,具有安全意识的管理层可以更好地了解组织信息的风险因素。这些知识有助于他们做出与业务运营相关的明智决策。具有安全意识的管理人员还可以协助制定数据安全策略、安全作业流程和安全意识培训。

培训材料应可用于组织的所有领域,例如公司内部网站、微信企业号等等。选择在安全意识培训计划中使用哪些材料高度依赖于组织。每个组织在选择用于安全意识培训的材料时都应考虑其独特的文化因素。

度量标准可以是衡量安全意识计划成功与否的有效工具,并且还可以提供有价值的信息以使安全意识计划保持最新和有效。根据规模,行业和培训类型等因素的不同,用于衡量安全意识计划成功与否的特定指标将针对每个组织而有所不同。通常的做法是通过在线的考核,以及线下的走访和桌面安全检查来实现。

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商,这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务,来为帮助客户成功地发起安全意识宣教活动,进而为工作人员做好安全知识和能力的准备,以便保护组织机构的成功。我们也创作了大量的安全意识内容资源,安全培训负责人员可以从中,选择符合组织机构实情的培训主题。部分叙述性文本(比如单位名称)、音频和图形(比如单位LOGO、整体配色)都可以自定义,以适合组织的需求。我们的课程也会经常更新,以便学员能够及时掌握迅速变化的信息安全形势和挑战,以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们,获得作品预览,洽谈采购及商务合作事宜。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898