安全意识计划

如何知道安全意识计划成功与否

admin

日前,笔者在与一家知名外企的信息安全和隐私官讨论针对员工们的信息安全教育时,聊到了在整体信息安全防御体系方面,对安全意识方面进行投入的重要性。探知这家“财大气粗”的外企每年在信息安全方面的预算投入在五百万美金,其中三十万美金花在信息安全意识培育方面。

我并不满足于这些概况,于是调侃说:“有钱就是好,花钱不眨眼。不过,搞信息安全意识真的需要花那么多钱吗?”出乎意外的是,我得到的回复是:“我们计划增加安全意识计划方面的投入,因为所有安全计划最重要的资源是人员。”

于是,非常幸运,我们约好时间,安排了一次信息安全意识专题现场拜访。尽管很有钱,这家外企的工作环境没有相像中的那么奢华,却非常的温馨。当信息安全和隐私官向其属下介绍我是“中国信息安全意识教育第一人”时,我突然被这个高帽子弄的不知所措,市面上“中国第一XX”这些个角色头衔几乎都是忽悠,说到底要么是自我陶醉,要么就是钱名交易。我只是勇敢地逃离了北上广深,来到春城昆明创建一家名为昆明亭长朗然科技有限公司的一名安全专业人员而已。

“从某种意义上说,人人都是天下第一,因为所有人都是独一无二的,可是这没啥意思。”这一机智而幽默的回复让我恢复了内心的平静,同时也活跃了会谈的气氛。外企的文化毕竟比较自由,虽然下属们也会琢磨上司们的喜好并说他们想听的话,但在专业领域,我相信他们会比较直率地谈论工作的。于是,我们就从信息安全防御体系谈了起来,大家都感叹说传统的网络边界在消失,从架构方面来讲,传统的边界安全保护机制如防火墙等等的份量越来越轻。在移动计算和云计算的大趋势下,新的安全问题不断涌现。新的攻击向量针对移动终端和云端,最新的威胁比如勒索软件已经大行其道。

如何应对新形势中的新问题,信息安全工作的目标仍然是应对种种安全威胁,反抗各种针对信息和系统的攻击和破坏行为,目前较为有效的手段就是对终端用户加强教育。

“以前我们依靠技术力量,保护好边界的安全,即使终端比较弱,也能防范来大部分自外部的威胁。现在边界几乎没了,我们就需要让终端强大起来。”

“要让终端强大起来,同样我们需要在使用人员(Peopple)、管理制度(Process)、和防护技术(Technology),简称PPT,这三个维度下手。”

看到大家踊跃发言,我也掺和了一句:“欧美外企的管理理念比较领先,虽然更为人性化,但往往却不够严格,或者说苛刻,这会不会影响到安全的效力?”

“我们的管理制度全面而不松散,都是基于最佳实践的,科学严谨。我们的制度都得到了认真的贯彻执行,真正的是制度化管理,这方面不同于国内很多企业还纠结和停留于人治的阶段,这可能是企业文化的差异吧。”

“规章制度是应该服务于安全目标的,我们创建和维护安全相关策略、流程也是紧紧围绕着安全工作的大目标进行。反观国内企业建立规章制度,很多都容易偏离目标,这就很难让人们信服,难以真心实意地遵守。”

“各种规章制度、政策程序和工作流程都是要人来执行的,这就和人分不开,都需要人们来确保与之一起工作。”

“其实防护技术也一样,技术也是要让人来使用的,那么多终端计算设备的用户毕竟不是机器人,要么就成了网络僵尸。”

“对我们来说,完整的安全计划包括PPT三个资源的适当组合,其中人员是核心。安全技术同时也是为保护人员的操作的,三者是分不开的。”

“更具体地说,作为安全策略的一部分,重点是投资于员工的安全理念。我们总是说应该努力改进您的人力防火墙,而不仅仅是您的技术防火墙,就这个意思。”

那么在人员安全方面,知名外企是如何做的呢?

“我们的方法就是教会用户应对种网络安全威胁,坏人要攻击我们,窃取资料,我们自然要防范。这说到底,就像一场猫和老鼠的游戏。”

“谁是猫,谁是老鼠?”我笑着问。

“无所谓,这反正是一个你追我赶的过程,我们中国有谚语:道高一尺魔高一丈,又有魔高一尺道高一丈。因为我们知道这并不是不对称的,所以对手他们继续变得越来越好。那么,我们必须确保员工们也保持更新变得更好,知道如何捍卫信息资产,并知道如何避免绕过我们的安全技术,因为那样可能会造成安全控管的失败。”

“成功的安全意识计划中最重要的组成部分,是让人们在各个层面上了解正确的事情,这是非常有帮助的。很多人躲避或越过安全技术,就是因为没有真正理解正确的安全理念或安全思想,并不是他们多么的存有恶意或者特意使坏。”

“有一点深刻体会,就是要有针对性,我们需要根据所制定的安全政策和程序来训练员工,而不一定是通用的法律规则。因为员工们多数只会关心对其有影响的,那些和自己没关系的,显然不会引起兴趣,甚至会带来反感。”

“在国外,很多大型公司使用在线教育系统,这种教育方式很通用。然而,并不能完全帮助员工们更好地完成自己的工作,也并不能完全帮助企业取得信息安全方面的成功。”

“既然使用在线教育系统的方式来提升员工们的信息安全意识很流行,那为什么说效果不是很全面和理想呢?”我有些好奇。

“我们知道,信息安全管理中最重要的东西是人的因素 Human Factor,那就是人员的意识。意识这个东西,靠在线教育可以有帮助,但在线教育的时效性较差。特别在应对最新的威胁之时。”

“比如有购物季、天灾季、差旅风险、病毒高发季、WannaCry流行季等,有的攻击可能在几小时、几分钟之内,甚至几秒钟发生,我们通过在公司范围内发送电子邮件,让员工们第一时间知道最新的威胁。”

“没错,线上学习的优势是知识的系统化,学习可以随时随地,一般每年或每半年一次,员工们可以灵活安排自己的时间,在这一年或半年内完成学习。对于突发性的新兴安全威胁,就要使用其它手段。”我附和着。

“意识电子邮件仍然不够的,我们还需要给出一项重要的组成部分,就是训练。训练,注意用词,不是培训,训练是真正给学员们特定的指导,教会他们如何在做事情时保障安全。”

“训练?不是培训,怎么讲?”我有些好奇。

“培训的概念比较广,重在培。训练的涵盖就比较窄,重在练。训练的方式也有多种,目前比较常见的一种方式是模拟钓鱼。”

“就像安全技术服务中的渗透测试一样?”我故意装作不懂的样子,其实早几年我已经帮助一家客户实施过模拟钓鱼服务。

“我们做的事情就像渔翁琢磨着如何钓到更多的鱼、像黑客尽力发现更多菜鸟一样,我们要知道如何寻找正确的攻击目标,分析目标的弱点,并采取适当的行动。”

“听起来很有意思。”我鼓励着对方继续说下去。

“说起来就是利用人性弱点的渗透测试,其实利用的除了纯人性的弱点外,也还包含一些技术措施。根据不同的场景,需要灵活结合使用。比如为了更接近钓鱼,我们得在邮件中放入虚假网站,那网站得看起来很真实,当然,细看网址的话,还是要能看出端倪。”

“不会弄假成真吧?”我调侃了一下。

“这是一个不错的问题,关系到法律和伦理。我们事先获得了公司董事会的批准,也同法务部门确认过。我们知道什么是真正的体验式教育,又不违背职业道德和冒犯到员工。”

“没错,推动信息安全需要遵循自下而上的实施思路,要董事会的认可和重视。说服董事会关键成员,进行积极有效的沟通,很重要。”

“要站在文化的层面,让董事会认识到一个成功的组织必须有配套的信息安全文化,基业常青的公司对外非常注重品牌形象和商业信誉,这些都和信息安全息息相关。”

“从品牌和信誉上来推动高管支持信息安全意识工作,真是高招呀。你们做得很成功啊!”我举起大拇指。

“说做安全意识到成功,说说可以,往往很难衡量。我们制定了一些可量化的指标,并不断进行优化。”

“可以衡量信息安全意识成功度的数字指标?我还真是第一次听说呢,讲一讲。”我变得很好奇。

“衡量公司职员对信息安全规章制度的遵守情况是衡量成功的最重要指标。”

“我们根据集中的信息安全政策标准及规章制度,创建了一个可量化的计划,其中对我们信息安全领导小组、信息安全管理团队成员提供季度性指标。”

“比如我们实施了多少次信息安全意识评估活动、进行了多少次办公室信息安全检查、发现和整改过多少个桌面安全、有过多少次人为的信息安全违规、有多少员工及时报告了安全隐患和事件等等,由此,我们搞出一个安全记分卡。”

“我们不是所有这些东西都列进安全记分卡,以显示工作成绩,我们只列真正有帮助的。这样就会给我们一个好的工作指导方向——做正确的事情。这也是董事会对我们的要求,事情分轻重缓急,重要的事情在安全记分卡上的权重会更高。”

“就拿我们谈论钓鱼的事情做例子,我们这个行业的点击率通常在百分之二十,那就是有百分之二十的员工会打开钓鱼邮件,点击链接或打开附件。我们会借助网络钓鱼教育平台,每个季度跟踪这个指标。”

“除了钓鱼之外,每季度都会不断测试我们的员工队伍,以确保他们正在使用我们之前提到的在线教育式的安全培训课程,这可以帮助我们将这一指标降到一个较好的水平。”

“除了指标之外,还有哪些其他方式来展示针对员工进行安全意识教育的成绩?”我继续问。

信息安全和隐私官站了起来,“走,我们一起去现场走走看看。”

在从会议室到工作区的通道中,我看到一张网络安全意识宣传相关的海报。

“我们的海报不是直接宣传安全理念,那样没有什么效果。我们这个宣传的是安全研讨会活动,我们强调通过参与安全研讨会活动,员工们可以获得奖励。”

“我很自豪地说,通过这张海报,我们有超过百分之十的员工加入到了安全研讨活动中,和前一年百分之五的数字相比,我们取得了很大的成绩。”

“您要知道接受邀请参加安全会议,在每月的会议上谈论安全是另一个很好的指标。”

“沟通协作很重要,除了董事会和CEO等高管之外,我们还需要各部门总监和经理们的贡献,举办这种安全会议,邀请他们,与之合作很重要。”

“安全至上而下,到部门级别的推动,就是一个领导力的问题。我们得借助部门领导的力量,听取他们的意见,并根据他们的具体需求进行适当的调整。”

一边聊着,我们进入到了工作区域,我看到员工的桌面上大都有一张绿色的小贴纸,偶尔看到一张黄色的。

“这是我们的桌面安全检查报告,绿色表示安全做得很好,黄色表示有些小问题可以改进,红色表示有严重的安全隐患需要立即整改。”

“Clean Desk,Clear Desk,这个检查流程很棒,可以确保信息安全要求得到满足,强化安全规章制度的执行力。”

我们走过办公区域,来到厂区,一线工人们看起来忙忙碌碌,却也井井有条。我突然想起一个问题:“针对不同岗位,不同角色,有实施不同的信息安全意识教育吧?”

“那是当然啦!我们每个工作职位都有详细的描述,同样搭配有信息安全方面的能力要求。”

“哇,都已经细致到这种程度了,佩服呀!”

“我们有一个工作角色相关的知识清单,使用它,可以确保我们所有员工都能接受到特定而充分的安全意识教育培训。”

“每位员工都要参加一定程度的信息安全意识培训和流程培训,以帮助他们完成工作,办公室人员和生产线人员就有差别,管理层和基层就有差别,销售团队和客服团队也有差别。”

“在安全意识培训方面,为了让所有员工都从中得到好处,我们同人力资源部门密切合作,做出了强大的安全意识教育培训方案。人力资源部门也会定期把学员的安全意识参训情况反馈给我们,这也是一项安全意识工作衡量指标。”

“那您主持的安全意识工作归谁监管?”

“我的工作直接汇报给CEO,安全工作报告呈交给董事会,不需要另一个监管或者审计人员来帮助我们。当然我知道,也有很多行业标准和框架,可以选择使用,来衡量是否成功实施了安全意识计划。我们参考了一些,最重要的还是要建立一套适用的衡量指标并不断完善。”

工作相关的聊天结束了,也到了用餐的时间,我便随着主人,一起体验了外企的膳食。我不是个吃货,更不是美食家,在这方面也就不说什么了。看着餐厅中的大屏幕,想像在不久之后,这里就会播放我司为其量身制作的信息安全意识动画视频,我真的感觉挺自豪的,通过对这家知名外企提供服务,我们也借光,能对人类的发展和文明做出一定的贡献。这种在商业领域精细深耕并协同合作,共同推动世界向前进步的局面,是全球化带来的影响,也拜我国改革开放政策所赐,真是我们这代人的幸运。

通过这次现场沟通,我颇为感叹。多年来,我做信息安全意识宣教生意,见识过跨国公司月薪达上万美金的信息安全意识经理,也与年度安全意识预算过十万美金的客户打过交道。可是能在安全意识计划方面做到这么极致,能科学地衡量绩效,还不断增加预算,不断改进的,真是第一次见,大开眼界呀。这次探访之旅无疑也是一次学习之旅,在我受益良多之际,不敢独自享用这些精神粮食,于是分享出来给大家。希望对有需要和有兴趣的朋友们一些启示。

当然,还是如同以往,不管您有任何的想法或意见,都欢迎您随时联系我,一起聊一聊这个小小的领域。如果您有机会来云南旅游或出差,或者路过昆明时,咱们可以碰个面、吃个饭、聊聊天。不求指点江山粪土诸侯,但求广结善缘多个朋友。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

三谈信息安全意识计划的重要性

admin

如果没有适当的实施员工意识和培训的政策、程序和工具,就根本无法实施有效的信息安全计划。这是因为,学习通常包含三个关键要素:

1.意识,用于激励和提醒学员(员工、受众),了解对他们的期望。
2.培训,用于教授技能或掌握所需工具的过程。
3.教育,是支持或作为职业发展过程所需的专门、深入的教学。

了解了学习的三个要素,方能理解人员在信息安全计划中所扮演的角色和作用,以及如何利用这些要素来建立意识计划,如何细分学员以及如何确保使用恰当的安全知识信息内容,如何能采取适当的手段有效地将信息内容传达给学员。

信息安全价值管理

信息安全相关政策、标准、流程和规则的开发仅仅是有效的信息安全计划的开始。如果没有适当的规章来确保员工了解他们对组织信息资产的权利和责任,那么再强大的安全体系结构将变得效率低下。

安全专家经常在实施“完美”的安全计划之后,很惊讶地发现竟然失败了,原因在于他们忘记了将安全控制产品或技术“售卖”给他们的用户。对此,昆明亭长朗然科技有限公司信息安全管理体系实施顾问专员董志军说:所有需要用户参与或者会影响到用户的安全管控产品或技术,都需要获得用户的理解和支持才能发挥预期的效力。因此,为了获得成功,信息安全专业人员必须找到一种将产品和技术“售卖”给用户的方法。

多年以来,信息安全专家们都自认为是企业的管理人员,希望部署更多安全管控设备,比如防病毒、防火墙管理、终端接入管理、上网行为管理、账户权限管理、补丁漏洞管理和入侵检测管理等等。殊不知,企业中几乎所有员工都是某种意义上的管理人员。员工们都会认为自己已经学会了工作所需要的知识,所有的“管理”工作都是在为组织增加价值,就像大的高管们的任务是确保实现企业的业务目标和使命一样。然而,信息安全专业人员没有做到的,也往往是最需要做的就是“售卖”信息安全服务。

信息安全专家们必须检查安全服务,例如风险分析、政策、流程、标准、漏洞评估和业务连续性计划等等,并确定每种服务如何支持业务目标。在提高效率之前,您需要评估团队提供的沟通服务,并对“售卖”策略进行管理。简单说,现在的用户“很难伺候”,安全专家们必须拿出安全控管的商业价值,方能让用户理解、接受并配合相关的安全控管。否则,用户们只需说一句“这破烂儿安全系统阻碍了业务的成功运作……”,就足以让信息安全专家们无言以对,进入退缩和懊悔的状态,进而让安全管控设备下线。

安全意识计划的首要目的便是将安全价值信息传达给人们。

安全计划的关键要素

机密性、完整性和可用性是信息安全的三要素,也是安全计划的驱动力。对于可用性而言,有效的信息安全计划致力于确保组织的信息及其处理资源在授权用户需要时可用。机密性和完整性的目标并不仅限于将坏人拒之门外。它们还可以确保有业务需求的人员可以访问执行其工作所需的资源。机密性可确保建立控制和报告机制,以快速、准确地检测问题或可能的入侵。

有效的安全计划必须考虑组织的业务目标和使命,并确保尽可能安全地实现这些目标。了解用户的需求是建立有效的信息安全计划的第一步。意识计划必须加强这些目标,只有这样,才能使安全计划更易为员工们所接受。

与安全政策、标准和流程一样重要的是安全计划的体系结构和支持安全计划的基础结构,不过,麻烦的问题是,在现实中,大多数员工并没有时间,也不希望阅读这些文档。对此,昆明亭长朗然科技有限公司信息安全管理体系实施顾问专员董志军说:这不见得完全是坏事儿,要从高高在上的战略目标和神圣使命,下沉到影响日常工作效率的安全控管细节和安全要求,需要将有进行有效拆解和关联的智慧与技艺。

信息安全计划有五个关键要素,必须展示给受众们,它们包括:

1.信息安全是业务流程的重要组成部分的概念
2.确定执行安全计划的人员的不同角色和职责
3.确定信息以及应用程序、系统和业务流程的安全敏感性
4.实施基本的安全概念例如职责分离、需要了解和最小特权原则的业务原因
5.高级管理层对信息安全计划目标的支持

安全意识计划的次要目的便是将安全计划之关键要素传达给人们。

行动起来推动安全计划

在开始向同事们“售卖”信息安全之前,您得先将其出售给自己和高管,然后才能推及用户。

首先,您需要说服自己,所做的事情会为组织增值。在谈及有关信息安全问题的课程时,我总是要求安全专业人员完成一件事,以帮助组织实现其业务目标或使命。这就是应以非安全、非技术、非审计的术语,使用业务部门经理听得懂的语言来表达信息安全价值声明。

其次,许多信息安全专业人员直接或间接地向被执行者(受安全控管措施影响的人员)展开营销,这会引起员工们的抵触,就如同他们收到了垃圾邮件或骚扰电话一样。正确的方式是通过高管(如首席执行官、首席财务官、首席信息官、首席安全官等)来失去。这样,才更有其“合法性”和“权威性”,因为员工们相信高管们的要求是支持组织的业务目标和使命的。

然后,确保用户们及时、有效地访问信息安全服务资源,告知受众您是如何在帮助他们安全地完成自己的工作。如同您应对管理层那样,您也必须将这些安全服务以用户们能理解的语言呈现出来。切记:安全要求或审核要求不是业务流程的一部分,只有业务目标或任务要求才是。因此,当我们在提供信息安全服务时,必须使用管理层使用的术语。

安全意识计划的第三目的便是将安全要求以人们懂的语言传达给人们。

总结语

信息安全的目标必须服务于业务目标,信息安全不是闭门造车搞技术控制,而是为了保护信息资产的管理活动,不管是从信息安全价值管理、目标管理还是过程管理来讲,信息安全意识计划都必不可少。本文是指导性的论述,如果您对我们的观点有看法,欢迎不要客气地联系我们。昆明亭长朗然科技有限公司多年来专注于帮助各类型的组织机构强化信息安全意识沟通,我们有大量的信息安全意识宣教素材资源,欢迎有兴趣的客户及合作伙伴联系我们,洽谈业务方面的合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898