笑谈并深思信息安全意识计划

前几天同一位网络安全老同志聊起来,自然要推荐我司的安全意识产品及服务。对方深知安全意识的重要性,可是提到花钱,便连连摇头,称:有家传统的老牌网络安全厂商免费赠送信息安全意识素材给他们,当然前提是要购买该厂家的新型网络威胁防护装备或者安全技术保障服务。

很自然,老牌网络安全厂商根本看不上信息安全意识这项业务,也无心在这上面长期精心专研。当初创作了一些培训宣教内容,可能是受到行业竞争或整体环境的影响的跟风行为。现在看来,这些知识性的内容见效较慢,来钱也不快,特别是在很多国人觉得知识应该免费的观念之下,不容易成为一个新的“赚钱中心”。于是,该厂商转念一想,不如将相关内容素材作为赠品,作为安全技术的补充进行搭售。可能该厂商也有一些不光彩的想法,比如:万一安全技术系统或安全服务失效了,还可以说是客户的安全意识薄弱,因为没有很好地使用他们赠送的安全意识宣教素材。

为什么老牌厂商还会有这种不光彩的想法呢?昆明亭长朗然科技有限公司网络安全研究员董志军说:说起信息安全的成功要素,并非技术管控措施一项,更多的是管理,即流程、人员和技术的综合作用。即使人才济济非常重视技术产品开发的老牌网络安全厂商,也几乎都无一例外遭遇过多起严重的信息安全事故。因此,对于技术措施的不足之处非常明白,也非常想提升信息安全管理水平,好处无需多言:一方面强化内部管理,另一方面尝试对外服务。只是内部的安全极客们往往不服管理,再说制度过于严格容易造成人才流失;对外搞安全管理咨询和服务也不容易,小厂商怎么也赶不上大客户的企业管理水平,因此不好靠忽悠客户来钱。于是老牌的安全厂商干脆集中精力,极力研制及开发更多技术方面的安全控制产品,以期弥补和替代安全管理特别是流程管理和人员管理方面的需求。

这种做法有些有效、有些剑走偏锋、甚至也有些饮鸩止渴,最终造成安全业界越来越重视技术产品,而广大用户特别是社会大众得不到基本的安全知识科普。全社会层面的悬殊的安全认知水平差异,造成了扭曲的网络安全空间世界,也给网络诈骗分子很大的利好机会,当然网络黑客团体更是乐开了怀,他们知道终端用户的弱点明显,而且很多业务流程和管理体系有漏洞,这些弱点或漏洞都很难得到修复,很容易被利用。

最近“护网”运动非常热火,网络安全“攻防比赛”活动也很受欢迎,这对于提升安全界的技术水平非常有帮助。不过,分析多数的攻击成果,我们可以看见:利用社会工程学、网络钓鱼、诈骗邮件等方式的渗透测试占了很大比重,这些基本上可以划为人性的弱点;针对业务系统的攻击,主要集中在网站代码中的逻辑或流程错误,这显然也是软件开发管理的问题,以及开发人员的安全意识不足。很多网络安全厂商本身的产品也被成功渗透,关键还是管理和运维安全问题,例如:要么默认密码一直没有被更改,要么其运作的支撑环境被发现了安全漏洞而没有得到及时的更新。归根结底,网络安全厂商深知纯靠安全技术永远是不够的,然而在行动中,还是不断重复地用一个新的网络安全产品去控管另一项网络安全产品的弱点,从管理的角度看,这个逻辑多么可笑啊!然而从经济的角度来看,这种商业逻辑是再正常不过的了。您可能会问:难道客户智力低下吗?您这显然是外行的问题和不着边际的假想,您可以说他们是懒散的官大爷,但是永远不要低估甲方的聪明才智。

言归正传,保护数据应成为所有组织范围的信息安全意识计划的一部分。安全意识计划的交付方式应适合组织的整体文化,这样才能最大程度地影响人员的安全大脑。用于保持高水平的安全意识应作为一项持续进行的计划进行,要确保不仅要每年度每季度提供知识培训和宣传活动,更需要每月每周甚至每天都有安全意识流入。确保员工意识到数据安全的重要性对于安全意识计划的成功至关重要,并将有助于满足各种法规和标准的要求。

开发正式的安全意识计划的第一步是组建一个安全意识团队。该团队负责安全意识计划的开发、交付和维护。安全意识团队的规模和成员将取决于每个组织的特定需求及其文化,小规模机构内一人牵头各部门领导兼职足亦,大规模复杂的需求需要至少三五人员的专职工作团队加上各部门的领导以及安全意识联络员。

安全意识可以通过多种方式提供,包括课堂形式的培训、基于计算机的培训、基于移动设备的学习、电子邮件沟通、纸质的期刊文章、电子公告通知、海报漫画等。将网络安全意识内容定向到适当的受众,让其阅读并理解对于确保信息安全非常重要。通过多个通信渠道传播安全意识培训,组织可以确保员工以不同的方式多次接触相同的信息。通过将内容材料和沟通渠道定位于相关人员,安全意识团队可以改善对安全意识计划的采用。有效的安全意识计划的一个关键要素在于以及时有效的方式将相关内容材料交付给适当的受众。

基于角色的安全意识为组织提供了参考,以根据人员的工作职能对人员进行适当的培训。为包括管理层和基层员工在内的所有人员建立最低级别的意识基线是安全意识计划的工作起点。在确定基于角色的安全意识计划时,首要任务是根据个人在组织中的工作职能将其分组。通过分配安全意识责任计划,将职责细化到部门和人员,可以很大程度确保该计划的成功。比如:信息安全部门创作或采购适当的知识内容,建立线上学习平台和定期发布微信内容,各部门领导组织内部的课堂式培训,发动部门员工参加线上学习和微信移动学习,并加以考核;信息安全部门印制期刊漫画,各部门安全协调员进行部门内分发和张贴等等。扎实的意识计划将帮助所有人员识别威胁,将安全视为习惯于,并乐于报告潜在的安全问题。

高阶管理团队对安全意识计划的支持对于成功至关重要。部门(中层)管理人员应该:

  • 鼓励下属人员积极参与安全意识学习活动,并在工作中进行实践。
  • 对适当的安全意识流程和做法进行表率,以强化安全意识学习。
  • 将安全意识指标纳入管理和员工绩效评估之中。

如上所述,建议根据角色和组织的文化确定培训内容。安全意识团队可能希望与适当的业务部门进行协调,以对每个角色进行分类,以确定这些特定工​​作职责所需的安全意识培训的水平。这对于内容开发至关重要,以避免员工“过度培训”或“培训不足”。除了一般的安全意识培训以外,建议人员根据其在组织中的角色,触及信息安全的一般概念,以促进整个组织范围内的信息安全。当然,为了确保意识影响行为,安全意识培训还应包括有关违反信息安全政策的后果的详细信息。

此外,管理层不仅应了解信息资产未能得到充分保护可能带来的金钱损失,而且应了解声誉(品牌)损害对组织造成的持久伤害。管理层需要充分了解安全要求,以讨论和加强安全要求,并鼓励人员遵循这些要求。建议对管理安全意识进行在线式的培训以及课堂式的研讨会互动,包括与责任领域相关的特定内容,尤其是可以访问敏感数据的领域。总之,具有安全意识的管理层可以更好地了解组织信息的风险因素。这些知识有助于他们做出与业务运营相关的明智决策。具有安全意识的管理人员还可以协助制定数据安全策略、安全作业流程和安全意识培训。

培训材料应可用于组织的所有领域,例如公司内部网站、微信企业号等等。选择在安全意识培训计划中使用哪些材料高度依赖于组织。每个组织在选择用于安全意识培训的材料时都应考虑其独特的文化因素。

度量标准可以是衡量安全意识计划成功与否的有效工具,并且还可以提供有价值的信息以使安全意识计划保持最新和有效。根据规模,行业和培训类型等因素的不同,用于衡量安全意识计划成功与否的特定指标将针对每个组织而有所不同。通常的做法是通过在线的考核,以及线下的走访和桌面安全检查来实现。

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商,这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务,来为帮助客户成功地发起安全意识宣教活动,进而为工作人员做好安全知识和能力的准备,以便保护组织机构的成功。我们也创作了大量的安全意识内容资源,安全培训负责人员可以从中,选择符合组织机构实情的培训主题。部分叙述性文本(比如单位名称)、音频和图形(比如单位LOGO、整体配色)都可以自定义,以适合组织的需求。我们的课程也会经常更新,以便学员能够及时掌握迅速变化的信息安全形势和挑战,以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们,获得作品预览,洽谈采购及商务合作事宜。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

再谈信息安全意识推广计划

在很多IT安全专业人士眼中,针对普通用户的信息安全意识教育培训是很“小儿科”的。然而,即使是安全技术专家,也不得不承认一个事实,那就是越来越多的针对企业级信息系统的攻击开始借助普通用户薄弱的安全防范意识,臭名昭著的高级可持续性威胁APT便是如此。

普通用户、VIP人员越来越多地成为网络犯罪分子入侵关键信息系统的跳板,甚至IT人和安全人,也都会面临各种各样的社交工程学攻击手法,这便让诸多信息安全管理人员将目光转向针对全员的信息安全意识教育领域。

如何开始呢?如何科学地制定和实施一套信息安全意识推广计划呢?昆明亭长朗然科技有限公司信息安全意识顾问董志军说:这是一个相对古老的管理话题,在此之前我们有多次谈到过,随着时间的推移,内容多少有些变化和更新。我们假定一家大型集团公司开始启动正式的信息安全意识推广计划,如下是整个计划的概貌。

一、计划概要

借助发布或更新安全政策与标准之时,首次配以一次大型的信息安全意识宣传推广活动。每月或每季度分批次分重点,进行不同安全主题的沟通宣传。针对全员的安全意识每年进行一次全面的刷新,并将其纳入新员工入职培训活动计划中。

二、初次推广

不管是首次发布、还是重大变更了集团层面的信息安全方针政策和标准指南,都需要进行大型的安全意识推广活动,如果是初次活动,我们建议使用较为全面的、涵盖了大部分信息意识主题知识点的教程资源,当然最好能使用一些定制化的内容,比如邀请高管讲话,或录制高管的讲话视频等等,以显示高管层对信息安全的重视和承诺;有了这些,员工们才会更加认真对待信息安全。

三、分批推广

每月或每季度分批次分重点进行不同安全意识主题的沟通宣传,可以更深入地宣传相关主题的内容,让员工们更加理解安全政策和标准的精神,在强化相关制度流程的执行力的同时也可以起到不断提醒员工们注意保护信息安全的作用,经常提醒,才更容易让信息安全成为习惯和文化。要深入不同的安全主题,特别是结合具体的商业环境、信息安全目标、战略、标准、流程等等,通常需要量身定制宣传推广内容。

四、年度刷新

每年审议和更新一次信息安全方针政策和标准指南,与此同时,全面刷新一次员工们的信息安全意识认知,教程资源可以在此前的基础上进行定制化的改进,以尽量减少重复不变的内容,免得枯燥乏味。当然,对于重点的需要重复强调的部分,仍然要保持重复使用。

五、入职学习

对于新员工,在入职培训期间,也要求进行一次全面的信息安全意识学习和考核,以保证全体工作人员都拥有基本的必需的信息安全意识。学习内容可以是最近一次针对全员的安全意识推广活动教程资源。

六、定制建议

信息安全管理处于初级阶段

对于计划初始做信息安全意识推广,但针对全员的常规性的信息安全意识培训制度尚未建立起来的客户,我们通常建议客户在最开始时,先选择一批通用的宣教资源或课程,少量定制。这样可以快速实施安全意识推广活动,并且节省大量的宣教成本。对于IT安全团队来讲,可以参考教程资源中的内容精华,改进安全管理工作和积累活动经验,同时降低项目计划风险和试错成本,还能留给下一年信息安全意识活动更多的改进或提升空间。

信息安全管理处于成熟阶段

对于信息安全文件体系比较完善,制度化管理水平较高,针对员工的信息安全培训已经成为常规工作的客户,我们则推荐定制化内容开发。因为很多安全相关的标准和流程都已经在实际工作中实践了,培训相关的原始素材也都有了不少,定制开发有了相对明确的输入内容。这时用新的方式来增强内部沟通,可以强化员工们对信息安全相关要求的理解、以及对相关安全理念的全新认知。对于信息安全团队来讲,定制课程的项目计划可控性强,成功率高,风险低。

总结来讲,如果我们在前期没有进行过大规模成体系的信息安全意识宣传活动,那么无疑员工们的信息安全意识水平是较低的,不管是通过风险评估、员工面谈、考核测试还是模拟渗透,几乎都可以得出这个结论。只是要进行全员信息安全意识的提升,科学的工作方法如何?如何衡量信息安全意识工作成效?如何让信息安全意识培训更贴近企业的实际商业环境和信息安全管理流程和规章制度?我们在一篇短文中可能介绍不了这么多,不过,如果您有兴趣了解更多,您可以直接联系我们,咨询更多详情。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898