是否需要在企业层面建立信息安全意识月?

搞信息安全意识教育如同内部市场营销活动,各种手段要综合并用才能获得最佳的营销效果。在这些林林总总五花八门的手段中,策划信息安全意识相关的专题活动是一项工作重点。

十月份是美国的互联网安全月Cyber Security Awareness Month,由于美国在全球拥有的强大实力,它的信息安全意识教育做法也纷纷被英联邦国家效仿,接着英国引导欧洲、中东及非洲,澳大利亚带领亚洲和大洋洲,加之英语的普世效应,这一做法大有推广至全球的趋势。

尽管中国的互联网仍然被西方世界广泛认为审查过严,甚至和伊朗、叙利亚之类的国家互联网络相提并论,抛开不同文明体系中的政治文化冲突不谈,解决全球互联网安全问题并不是简单加强内容审查和过滤这么容易。俗话说“解铃还需系铃人”,美国发明了互联网并推动了相关的产业巨变,在造就互联网荣耀的同时,也给带来了大量的网络犯罪,所以我们有理由相信,甚至仍然需要美国来领导解决全球网络安全问题。

不要以为解决信息安全问题可以“中学为体,西学为用”或“师夷长技以制夷”。随着信息技术的引进,信息安全控管理念和措施应该紧紧跟随,否则小可导致个人电脑中毒,中可令组织业务安全受损,大则能使国家安全面临严重威胁。

在信息安全控管措施方面,我国大力发展“自主知识产权”的安全控管体系,加之政策的扶持,大批的安全技术研究专项立项,亦有大量安全软硬件系统设备被制造出来。除了关系国计民生的关键领域是这些信息安全控管措施的消费主力之外,大批的企事业单位是巨大的企业信息安全设备和服务的消费者。

不过,在这片欣欣向荣的信息安全产业发展大局势中,有一样控管措施仿佛被市场忽略了,这项安全控管措施却是非常关键的,它便是信息安全意识Information Security Awareness。不可否认的是各类信息安全控管措施必须在相关安全理念的指导下才能发挥效力,就像人们常说的“理论指导实战”一样。

然而,国内的信息安全市场仿佛并不看好信息安全意识,关键的因素是安全意识教育产品或服务的商品化,安全意识教育相比于硬件设备来说,是无形的,而且即使进行相关工作,也难以立即看到成绩,所以安全意识培训在多数由绩效衡量拉动的组织内部并不是工作的重点。

不过,实际上,多数组织机构都明白大部分的安全事故的最终原因是人员的安全意识不足,所以不少组织都有专门负责对员工进行信息安全意识培训的职位描述,甚至有专门的安全讲师和团队来负责员工安全培训方面的工作,当然也有不少组织机构将这些培训工作进行外包。

国家相关部委早已经下达各类文书,督促和强制下级各单位加强对职员进行安全意识培训。在更广泛的商业领域,多数企业除了会对新入职员工进行简单而必要的安全基础培训之外,往往并没有更多的行动。随着时间的推移安全相关的知识理念会被员工遗忘,而信息安全所面临的各类威胁却不断出现,所以仅仅提供些粗浅的新员工安全培训显然是不足够的。

提供年度的信息安全意识刷新被提上信息安全管理负责人的工作议程,的确,旧有的安全知识在新型安全威胁面前会过期,即使不会过期也可能被遗忘,所以每年针对全体员工进行一次大规模的安全意识检查和修补非常必要。

在大型的组织机构中,想将员工统统组织起来开大会宣讲安全新精神新理念简直不可能,时间和空间的限制不说,成本也会居高不下。如何能选择最为有效的手段呢?建立信息安全意识月是不错的答案。信息安全意识月不是简单的宣布一下安全月的到来就完事了,要多种活动交叉进行,比如发放员工安全手册、张贴安全意识海报、派送安全期刊、放置安全培训展板、发放安全教育漫画、实施安全知识测评、提供安全意识在线学习、发送安全认知短信,搭建信息安全座谈会,开展安全场景模拟攻击演练等等。

根据此前一年的安全事故报告分析情况,突出一两个安全教育主题,搞一些案例和场景的分析,可以帮助降低同类事故的发生概率。更重要的是加强与员工们的互动,激发员工们的参与,会让安全理念更加深入人心,互动式的座谈会、电子学习课程和渗透攻击、在线考试等等不但会给学员们学习的压力,更生动有趣的设计比起单向的内容提供要有效得多。

是否需要在企业层面建立信息安全意识月呢?昆明亭长朗然科技有限公司的信息安全意识顾问告诉您答案是肯定的,不过最终是否设立呢?决定权还是在您的手中,就如同安全在所有员工的心中和手中一样。

员工的安全意识是商业成功的竞争力

在和一家“走出去”的民营高科技制造企业信息安全经理喝茶时,聊到一个案子:公司安全高管收到一名员工的报告,称发现供应链派来的员工在敏感区域有不恰当的拍照行为。公司安全部即刻展开了追踪调查,在初步发现一些端倪之后,怀疑是一条“潜伏”的大鱼,在警方的协作之下,终于挖出一条窃取机密技术信息的“供应链”,同时也挽回了巨额的潜在损失。

而更有意味的是另一家大公司的安全总监同我分享的,这家公司在同一个城市有多个办公地点,第一天遭遇小偷光临办公大楼总部,两台笔记本电脑被窃;第二天在相隔20公里的厂部同样丢失两台笔记本电脑,安全调查人员研究录像后发现是同一人所为,而且同样都是假装成公司员工通过尾随方式进入了办公区域。尽管电脑被窃员工们及时更改了系统的访问密码,仍然有大量的机密商业数据随着笔记本电脑一起失窃。

我们相信这两个案子都是比较典型的,先拿第一个案子来讲,为了防止第三方员工窃取和出售公司的机密信息,部分公司实施了特别的物理安全措施,比如对访客的笔记本电脑、手机等计算设备进行前台登记和托管保存,禁止带入敏感区域。然而,这样严格执行的只是少部分,大多数公司由于协同工作的需要,并没有严格限制访客的计算设备进入公司内部。一旦访客的计算设备如智能手机进入了公司内部,要想有效控管,无非需要通过访客接待和陪同人员的努力。

看看第二个案子,在门禁安全方面,针对敏感的安全区域,部分公司实施了特别的物理安全访问控制设施,一次只允许一个人刷卡进入,能有效防止贴身通过或尾随。不过这种堪比地铁刷卡通道的安全设施在资金投入方面通常不低,而且影响通行效率和速度,还可能影响到消防逃生,所以很多大公司并未在办公区域出入口安装这类严格的门禁设施。另一方面,由于大公司员工众多,几名员工同时进入公司的情况比较普遍,所以尽管安全部门会要求原则上每人需要刷卡才能进入,具体实践中往往只有走在前面的员工一次刷卡后面的员工便一同进入,这同时也给窃贼以尾随进入公司内部的机会。尽管大公司员工众多,即使员工之间互不认识也可能会面熟,在进入公司内部时,员工如果能要求陌生人自行刷卡进入,则可以有效减少窃贼尾随事故的发生。

很显然,上述两个案子对“攻防”两方来讲,并没有太多的技术性,却和商业机密保护息息相关,而这些商业机密更是当今公司取得商业成功的核心竞争力。这些看似简单而原始的信息窃取手段,即使部署百台网络防火墙、入侵防御系统或数据丢失防范系统也无法有效应对,这些只能信赖员工的安全意识。昆明亭长朗然科技有限公司的安全顾问James Dong说:安全专家要从网络或IT安全向业务信息安全高度跨越,防火墙、入侵检测和防范数据泄露更多是IT安全领域,对业务信息安全的保护不够全面,实际上,保障业务信息安全更多信赖的是操作具体业务的员工。

办公场所安全在信息安全专家的眼中仿佛太小儿科,然而今天我们谈论的对公司成功至关重要的“信息”远不止是传统意义上的如IT系统或数据库的电子数据,“信息”是一切对公司有价值的东西,包括各类商业战略计划、生产制程创新、技术研究成果等等,当然存在形式包括电子数据、纸张数据以及存在于员工头脑和通过口头沟通的信息。

既然员工对于公司的商业信息安全保护至关重要,当然就需要让员工们认识到这方面的重要性,了解自己在保障信息安全方面的职责,并且掌握基本的安全理念,以便能应用正确的安全实践和履行自己的职责。这无疑需要安全管理负责人制定相关的安全政策,并且加强对员工进行安全意识培训。比如针对第一个案子,公司应该制定拍照安全政策和访客接待政策,比如禁止在敏感区域拍照的政策、员工全程接待访客的政策、安全事件报告政策等等;第二个案子则需制定区域访问政策、防尾随政策、桌面安全政策、移动办公设备保护政策等等。

在制定了相关的安全政策之后,要让员工了解和接受这些政策,无疑需要加强对员工进行安全政策的培训,让员工了解这些政策的精神,往往比制定严格而死板的标准作业流程更受欢迎。

简单总结一下,没有哪一项安全控制措施是百分百完美的,信息安全总监和经理们要保护多种形式的“信息”的安全,也需多注重非技术领域的安全控管措施。在大多数的情况下,各类安全控管措施要发挥效果,需要与员工进行充分的互动。而那些为弥补技术控管措施不足之处的旨在保护商业成功的各类安全政策,无疑需要员工的理解和接受,首席信息安全官和安全经理总监们的一项重点工作内容是通过提供安全意识教育来强化员工们的安全职责、安全能力和保护公司商业成功的意愿。