安全意识对您的组织重要吗?昆明亭长朗然科技有限公司的一项开放式在线调查结果表明:少量用户20%认为安全意识“不重要”,和认为“非常重要”的19%几乎持平,而多达61%的受访者对此表示并“不关心”。这项公开的调查并不是一项性格测试,所以没必要对受访者进行严格的分类。总体来讲,安全意识对于受访者们来讲是“可有可无”,并非那么紧要的事务。
不少安全从业人员向我们抱怨称公司领导对信息安全的重视度不够,认为只要不发生影响电脑正常使用的恶意病毒事件就万事大吉,但是却重视员工的安全意识培训。安全专业人员对简单的信息安全意识受到高层“过度”的重视表示不理解,的确我们不能否认要搞好企业安全建设,专业人员所拥有的特别安全知识和技能是必需的。
安全专业人员的抱怨并非没有道理,但是也并不全怪领导“不重视”信息安全工作,毕竟领导们多不是信息安全专业出生,他们更不是这个领域的专家。领导们往往站在业务全局或所属部门的角度来审视信息安全,尽管他们对信息安全的认知可能并不足够,但是他们无疑更理解业务或部门对信息安全的需求。
安全专业人员也并非全都是业务方面的“门外汉”,基本的业务流程现多被信息化所驱动,信息安全专员多少都懂些信息系统基础,稍加努力了解一些业务架构和关键的流程,以及对IT安全方面的依赖,便可轻易成为又懂安全又懂业务的职场精英。昆明亭长朗然科技有限公司的安全顾问Alice Wong称:除非安全专家想往业务方面发展,否则多数情况是安全专家只想获得对他们的专业技能的认可和尊重。解决方案很简单——领导们在进行新业务或项目的调查分析之时,或在制定相关决策之前,向安全专家们咨询顾问一下。
安全专家们愿意为公司的成功更多付出专业方面的正能量,但是信息安全专家们显然不愿意也不会为员工终端层面的安全问题负责,他们会认为那些太小儿科,但是问题在于普通员工往往有更关键的工作——创造更多的商业价值,而不是成为安全方面的高手。矛盾出现了,安全专家们纠结了,身处管理层要负责的“领导们”必须得有所作为,他们要成为安全专家与终端员工甚至最终用户之间的沟通桥梁,他们需要让终端员工们掌握基本的必需的安全知识和技能。
信息安全专家,不管是技术方面的还是管理方面的,现在都应该认识到真正的问题和挑战,要为领导们所认可和接受,必须改变以往的傲慢立场,深入一线了解和评估基层员工们的安全认知水平,制定和实施必要的安全意识培训战略和计划……
而业务主管及高层的领导们则应该考虑到专家们所受到的限制,给予所需的必要的支持,让员工安全意识培训计划能够顺利地在整个公司或部门范围内得以顺利落实。
