越来越多的信息安全部门被要求采取复杂的任务和承担更多的责任,以合乎适用安全法规的要求并实施行业最佳安全实践。那么,IT安全专业人员们该何去何从呢?昆明亭长朗然科技有限公司网络安全专员董志军表示:面对诸如《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》等,加之细化的条例及行业规范,仅仅只是确保合规的工作量,例如建立及维护工作制度流程,检查和确保在内部的实施情况,存储和保持工作记录,应对内部沟通和外部审计等等,就需要至少两名全职安全专业人员;而各个相关岗位的信息安全工作量也要增加,要不断梳理工作流程,加码对新规的遵循,保留工作记录,这些“纸面”文书工作的重要性和耗时不亚于部署一套控管系统。那么,该如何“化繁为简”呢?解决复杂性的答案在于意识培训。
在信息技术方面,我们为员工提供完成工作任务所需的越来越复杂的计算环境,例如,我们要求系统支持多种语言和多种不同的计算设备,每一种设备都有自己的细微差别。对于网络防御者来说,确保一切都达标、正确配置和架构变得越来越困难,这为攻击者提供了在复杂环境中利用这些差距的机会。
当然,我们有很多不同的方法来解决越来越复杂的网络安全威胁,最常见的方式是使用强大的技术侦测及防范系统,比如入侵检测与防范系统、消息检测及内容过滤系统等等。不过,网络通讯协议越来越趋向端到端加密,这些系统就会暴露出其天然的不足。那么,在网络安全上该怎么弄最为有效呢?培训员工安全意识远比购买最新的安全小玩艺儿或小发明更为有效和省钱。因为训练有素、消息灵通的员工能够更好地帮助组织降低网络风险。
当然,安全培训不仅仅针对安全专业人员,也还针对终端用户。传统上,信息技术团队中的专业人员更需要接受更好的安全培训,但是随着大集中式云计算及分布式移动计算的普及,安全培训更应普及整个组织机构,包括董事会和高级管理人员,他们越来越成为定向钓鱼之类攻击的目标,这种有鱼叉式网络钓鱼针对真正的“大鱼”进行。当然,除了高管之外,所有人员都与网络安全息息相关,所有员工都是信息用户,处于网络前线,无论是在家里还是在办公室,也都是网络犯罪分子攻击或利用的目标。因此,信息安全培训需要量身定制,并且需要对整个员工队伍持续不断地进行。
为什么要必须持续不断地进行安全意识训练呢?在军队中,最好的训练方式是通过攻防演习、模拟测试和实战拉练。在网络环境中,每个组织也应该将其作为日常工作节奏的一部分。日常节奏应该包括定期的网络演练。如果发生这种情况,该怎么应对呢?护网行动,红蓝对抗等等都是不错的行动,通过演练,我们可以知道哪些信息最重要,有哪些漏洞或弱点,该如何保护重要资产?在遭遇非常糟糕的事件时,该做些什么?该如何保持潜在投资者、当前投资者、监管环境等的信心?拥有一种通过实践不断改进的文化可以帮助更好地管理风险,帮助识别自己的优势和劣势。然后,可以根据演练和实战中的发现来调整资源,以便最好地管理网络风险。
多年来,昆明亭长朗然科技有限公司始终专注于信息安全意识培训领域,我们在信息意识培训方面,创作了大量的内容资源,包括平面设计图片、动画视频短片、互动电子课件等等,也为众多知名机构提供了定制化的卓越服务。
演变与创新是目前信息安全意识领域热议的话题之一,如果每年都做的相同的信息安全意识培训,会越来越没有效率。谁都不想一直“吃剩饭”,是吧?来点新鲜的内容或不同的玩法已经成为世界级组织机构正在采纳的作法,大量实践证明,这种持续进行的信息意识培训改进了组织的信息安全文化和员工们的安全行为。当然,也可以进行渗透测试和模拟钓鱼训练,通过游戏化的培训更为有效,通过模拟网络钓鱼并向员工展示网络威胁的所在,可以提高员工的安全知识,并更好地激励他们的风险意识。无疑,持续的安全意识培训可以为网络安全投资带来更好的回报,并促使组织的安全文化向更好的方向发展。
当我们审视网络安全时,通常是人员、流程和技术的结合。首先,从人员的角度来看,应该在整个组织范围内进行安全意识方式和内容的创新,进行模拟钓鱼和实践演习;从流程的角度,强化员工队伍审视工作环境、信息系统及日常作业流程中的隐患和弱点,工作人员更知晓相关流程中的弱点或漏洞,鼓励报告并及时整改能带来很多好处。最后,从技术的角度来看,我们可以看到大量的技术创新正在涌现,例如威胁情报、人工智能、软件定义边界、微分隔、零信任模型等等。人员、流程和技术要有效结合,不能顾此失彼,需要更多管理方面的措施。
昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有关于信息安全与隐私保护相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com
