如何营销信息安全思想

信息安全管理中最弱的环节是用户们的安全意识,而要提高用户们的安全防范意识可并不容易。毕竟“天下最难的事情是将别人口袋里的钱拿到自己口袋,以及将自己脑袋里的思想装进别人的脑袋里。”

难也要上, 我们要提升用户以及客户的安全意识,需要正确的方法。昆明亭长朗然科技有限公司的安全意识培训师Alice Wong称:环顾全球,欧美国家喜欢讨好用户,日韩港台倡导娱乐用户,而大陆内地最爱恐吓用户。唉,谁叫这一代人都是厦(吓)大的呢?

说笑完毕,言归正传,现在的世界交流强过于以往历史上的任何一个年代,信息安全意识教育管理方法也会随着经贸交流、文化交流、跨国公司人员流动和互联网资讯流动而不断演变。我们只需遵守全球范围内被广泛接受的安全意识方法,加之对自己企业环境和内部文化的理解,灵活应用即可。

接下来,让我们分享一些一家来自中国的全球性跨国公司在安全意识教育方面的做法,希望对信息安全管理和培训负责人有所帮助。

跨国公司有数万名员工,数个事业部,分布于不同国家不同站点,中国人员大本营分布于三个城市、欧洲及中东大本营分布于两个城市的三个站点、美洲大本营分布于两个站点、除中国外的亚太地区大本营也分布于两个国家的四个站点,此外还有数百个国家的小型分支机构。

向所有能够接触到信息资产的员工们推销信息安全方针政策,在全球分布架构下,大的站点都有兼职的信息安全讲师,专门通过现场课堂培训对新进员工进行安全意识教育,小站点往往缺乏对员工进行必要的培训,要么就近派到附近大站。

来自中国的这家公司的业务在不断扩张,我们不得不考虑全球一体化中的员工安全意识教育问题,好在英文是通用的沟通语言,我们决定使用创新的在线电子学习方案,这种方案大小站点都可使用,除了为中国大本营特别开发中文之外,其它海外站点全部使用英文。大型站点由原来的讲师担任协调员,小型站点由本站的管理秘书提供协调员,负责在本站员工的沟通协调和学习推进工作。

强制推广培训的遵循,在获得总裁的大力支持下,通过人力资源副总裁,利用全球员工目录,将学习考核情况尽数掌控。除了测试团队之外,顺利是先在高阶管理层推进在线学习,再到中层,直到基层经理主管们。在管理层全部通过之后,协调人员在面对基层员工进行推广时,可以轻松获得员工管理层的理解和支持,工作推进便容易多了。

在学习过程中,通过在线学习系统,安全管理团队、培训讲师、站点协调人员以及经理层很容易知晓部门人员的参训进度和考核通过情况。学员可以随时随地通过在线课程进行安全意识学习,在学习完成之后通过在线测试来检验学习情况。

一次大范围的针对全体员工的信息安全意识推广活动就在一个月内取得92%的通过率,第二个月底达到到最初设定的99%的目标。所有员工都在线签署了公司安全协议,同时也获得了大量的反馈,以用于衡量安全教育计划的有效性和支持后续不断的改进。

在信息安全意识和思想教育方面,我们并不停留于此,我们建立了内部安全沟通网站,增加了Web2.0互动功能,安全响应团队的及时解答让员工们能够获得及时的安全指导。

我们也定期提供新鲜教育素材配之安全通告,并通过邮件方式推动到全体员工,以不断刷新员工们的安全理念。同时,为了让建立一股能够反应业务需求和全球态势的安全正气,我们在网上举办了一些安全文化交流活动,鼓励领导层和员工们结合具体工作实际来谈信息安全。

我们不但不恐吓用户,对犯错用户采取教育为主的措施,让他们抽出时间再次参加学习和通过考试,同时也要求他们做出一些反省——书写心得报告并参与下一次的安全检查工作。此外,我们还设立了全球信息安全奖励基金,用于表彰信息安全领域的杰出贡献者和公司信息安全文化的积极倡导者和实践者。虽然我们的预算有限,但是这活动显然激励了员工们对信息安全工作的热情。

鉴于时间和水平的限制,分享暂时就到这里。昆明亭长朗然科技有限公司也制作了一部给信息安全培训者的在线教程,不用注册可以免费聆听。

infosec-awareness-strategy

信息安全复杂行为管理的闹剧

云计算和移动计算时代来临,传统的网络安全架构受到前所未有的挑战和冲击,各种企业机构开始重建信息安全管理体系,以期采取“与时俱进”的安全战略——将核心防范力量和主要安全投资放置在云端和终端。

不过尽管依赖桌面计算机、企业内部网络和机房中心的传统计算架构已经开始显示出颓废之相,但是大型组织仍然不会轻易大规模使用基于互联网的云计算,所以互联网边界安全仍然是一项重要的控制点。整合众多网络安全的一体化安全网关设备也因硬件性能的不断提升而逐渐获得市场的认可和接受,加之可以集成功能可以简化网络管理和运营,所以类似UTM的设备在基础架构升级潮中开始受到欢迎。

安全厂商也不断地往产品中添加更多功能,除了网关层面、应用系统和数据库层面,最大的竞技战场无疑就是终端了。终端设备和用户的数量都很巨大,人人都有不错的至少自认为聪明的想法,所以终端安全产品的功能越来越强大,体积越来越臃肿。大而全才能适合更多消费者的口味,才能将竞争者比拼下去,实际上解决客户问题的可能只是“大而全”产品中非常小的一部分功能,但不幸的是这一部分功能却只能凑合着满足需求、或者只是打个擦边球,甚至仅仅只是一个功能上的噱头。

不少安全厂商和安全管理团队都在反思,外来商业产品功能强大,却不能得到有效的发挥,白白浪费开发资源和计算系统资源,内部定制开发成本高昂,没有足够的财力会让运维折腾不起。就拿员工上网行为的控管为例来讲,部署实施控管系统是为了提升员工们的生产力和防范恶意网站代码的入侵,但是实际操作时却问题重重,每个部门每位员工都不一样,理想的庞大的行为控管需要细力度到每位员工,比如甲员工每天上午访问财经网站有利于提升生产力和公司形象,乙员工在下午访问一个技术站点有利于公司内部一项技术问题的解决,甲乙调换则是在浪费工作时间……员工网络行为监管系统的管理员就需要为甲乙两名员工设置不同的策略,并且时时来监控他们的使用。还有,今天甲员工情绪低落,是否要过滤一下诸如自杀类的消极网站,而将流量移至励志类网站?而这名员工昨天却表现得太亢奋了。

您可能觉得上述这例子有些夸张,但是实际上细想想,从广义上讲,我们苦苦追求的所谓“控管目标”,以及我们的信息安全团队日常在做的,不正是类似这些的缩影吗?所以啊,我们更得反思:是否该这样建立员工网络行为监控防火墙?如何设置适当的可疑、不正常的和违规的行为特征或标准?如何有效平衡员工们的合规感及反抗欲?如何真正将安全行为控管系统与业务安全的大目标和战略有效结合?

如果有人告诉您这些问题的答案在于大数据,您需要保持半信半疑的态度,大数据的确可以帮助让看似混沌的事物变得清晰,但是在目前,将大数据分析用于实现安全行为的细力度控管,显然是不值得的。大数据应该用于能够创造更多业务价值的关键领域,而不是这个类似后勤行政管理的角色。

说到底,很多针对员工的上网行为管理系统已经远远超出安全管理人员可预期承受的范围了。昆明亭长朗然科技有限公司的移动计算安全专员James Dong说:移动计算终端的应用情况很复杂,通过越来越“智能”的“大而全”系统加之足够的人力微调,可以实现控管目标,不过问题是这种控管成本太高了,不值得。

信息安全复杂行为管理的闹剧该停一停了,如同统一威胁管理UTM解放了不同设备之间的协调障碍、简化网络基础架构、并让网络故障点大大减少一样,我们需要在计算终端方面的创新之举。亭长朗然公司James说:计算终端安全的管理,传统上过于关注的是机器,而不是机器的操控者和使用者——员工们。要将终端安全化繁为简,需要从计算终端的用户着手,强化安全意识沟通教育,因为要想真正控制了用户们的行为,最高的境界通过是指导人们的思维习惯,让人们拥有正确的安全思想。