信息安全年会关注的焦点是信息安全意识

最近,昆明亭长朗然科技有限公司的一家客户针对全体员工进行了一项年度信息安全意识调查,调查结果令人震惊,几乎没有员工明白安全漏洞和安全威胁的区别,在怀疑或遭遇安全事故时如何正确响应也很不令人乐观。

如果说漏洞、威胁和风险属于专业术语,部分安全从业人员甚至都搞不明白的话,我们更应该原谅这些员工。如果员工在遭遇可疑安全事件时不知如何报告或向谁报告,那显然是安全应急响应体系和流程的缺乏或不足,至少在安全事件报告方面,暴露出安全管理人员未对最终用户进行适当的沟通和培训。

安全管理人员可能会说没有足够的资质来建立安全应急响应体系,拜托,再小的企业也会有突发安全事件吧?何况大些的公司还有专门的安全管理职位和队伍呢!安全应急响应的投入可大可小,但找两个轮流值班的、接电话和查收邮件的保安总可以吧?

为什么要安全应急响应呢?想想如果员工发现工作区域有鬼祟的陌生面孔,立即报告给公司安全部,安全应急响应服务台立即派保安前去盘问和检查好呢?还是员工不当一回事,公司财物丢失了也无人知晓的好呢?

公司的多数安全预算用于购置各类安全设施、安防设备和安全服务,网络信息安全领域也是如此,资源多数花在安全系统和外包安全服务上,而比较忽略内部的安全管理体系如安全流程建设。

提到网络信息安全,人们谈论最多的是病毒和网络黑客,比较少关注信息安全意识。亭长朗然公司的安全顾问James Dong说:就连防病毒和防黑客都不能离开用户的安全意识,更不要说防范内部不满员工和商业间谍等等这些威胁。

针对信息基础架构系统的电子攻击近年来引发政府的关注,水电能源、卫星通讯、交通导航、银行金融等系统在安全等级保护框架下有了较大的改善。甚至在国家层面已经开始关注和谈论互联网战争和网络恐怖活动,这都彰显出国家在信息安全方面已经牢牢掌握主导权。

不能忽视的是在信息安全方面,也同样存在国进民退和国强民弱之说,在国家牢牢控制互联网安全核心架构体系之时,关于信息安全的立法、司法和监管日益成熟。而老百姓的互联网安全能力提升明显偏慢,显然与全球发达国家国民的安全素质差距甚远,甚至有网络观察员称中国的互联网是一小拨网络暴徒绑架着大量无知的普通网民,这和互联网大国的地位很不匹配,而且这样下去无疑将严重影响信息社会的健康发展。

回到亭长朗然公司的这家客户,在分析调查报告结果之后,安全管理团队进行了适当的检讨,认为有必要改进安全应急响应体系,并且加强对全体员工进行信息安全意识教育,特别是强化安全事件的报告。公司安全管理团队为此专门举办了为期一周的信息安全年会,年会后对员工进行随机抽样调查和社会攻击学攻击渗透测试,结果证明:通过培训,被调查员工了解到哪些是信息安全事件,该向谁报告安全事件。有趣的是,针对同一名员工的两次社交工程渗透攻击都被识破并及时报告给了安全服务台,两次的不同是这名员工第一次交谈时显得很腼腆,满脸通红;第二次已经显得很“理直气壮”。

员工的安全意识得到了质的提升,这正是信息安全年会的目标。短短两周的时间,这家公司的信息安全部门已经通过员工的及时报告,快速响应,挽回了一起可能造成重大损失的信息安全悲剧,这起真实的事件得以成功处理,不得不感谢信息安全年会的举办和信息安全事故场景的模拟演练。

安全事故之后的安全流程评审

确保安全万无一失是人们的美好愿望,甚至被人们当做口号和政治任务。可是从科学角度讲,安全事故无法百分百避免,安全事故后的应急响应便成为一项关键安全控管流程。

旨在降低可能损失的应急响应流程在最后的输出往往是事件的根本原因分析和防范未然之道。不可否认,信息安全事故的原因往往都是人为的,即使是信息系统或者外界环境方面的因素,往往也会有适当的防范和补救方案。说到底,不管什么因素,都需要流程方面的防范措施,通过有效的流程控管和优化,可以在很大程度上减少安全事故的发生,并且降低可能造成的损失。

如何知晓在信息安全管理流程上缺乏什么呢?如何知道将如何改善安全作业流程呢?这不是看表面拍脑袋想当然的事情,需要科学的调研、分析和总结。内部人员能隐约觉察出问题的原因,但是可能并非所称的根源root cause。即使有明眼人能看出来,可能也局限于自身的地位或办公室政治因素而避开不谈。所以,再讲到改善流程,则希望渺茫,无疑让人们为安全事故所付出的代价付之东流。

当局者迷,旁观者清。安全负责人无疑需要请来外部第三方的审核队伍,帮忙找寻安全管理流程中的不足之处,并加以咨询和探讨。安全事故五花八门,起因似乎也是如此。但是在专业的安全审核人员看来,微小的失误和明显的过失还是有很大区别的。

流程评审的关键已经不再是看看文档,不少公司的文档只是文档,缺乏真实性。现场巡查、人员走访和随机抽检才是发现安全问题和隐患的关键。昆明亭长朗然科技有限公司信息安全咨询顾问James Dong说:一名懂信息安全的负责任的审核员足够,沟通交流出期望的输出,比如找出安全管理流程中的哪些不足甚至错误之处,与行业最佳实践的差距,以及改进建议。

通常第三方中立的信息安全审核人员并不会受制于内部环境的束缚,所以能够较为客观和中立地给出审核报告。当然在提及改进方案之时,往往也会提供专业的建议,比如推荐一些产品和服务。这都无可厚非,而且确实在很大程度上能够为供需双方牵线搭桥。

总之,一起安全事故的起因看似聚集在一个点,其实并非孤立的,要进行全面的安全管理流程审核分析,才是防范同类安全事故再次发生的正确措施。当然,要让信息安全委员会成员们以及相关的决策者们认识到这一点,还需要足够的安全观念碰撞和沟通交流。无疑,在安全认知的校正和安全观念的启蒙方面,针对管理层的信息安全意识宣导课程可以帮上忙。