如何建立网络安全文化

根据网安科技的一项调查,中央国资企业仅将其IT预算的3.2%用于网络安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军感叹道:这点支出与全球范围内的跨国企业13%的基准相比,显得多么的微不足道。

不可否认的是,很多中央企业担负着重要的政治任务,这就造成可能在非经济领域的事情上花了很多钱,因此尽管有庞大的开支,在网络安全方面,央企仍然会觉得处处都是威胁,尽管有如《网络安全法》、等级保护等法规驱动力来促进网络安全工作的开展,但是“巧妇难以无米之炊”,那紧张的预算,想买高端的设备和服务,是不可能的。

《网络安全法》实施几年来,相关细则不断出台,给互联网、金融等行业带来了巨大变化,许多公司正在不断加强对网络安全的关注和投入,但是这种情况似乎并没有在央企大量发生。为什么央企不带好头儿严格遵循网络安全相关的法律法规呢?要说他们不怕惩罚那是不可能的,要说没有资源那也说不过去,有国家做后盾的都是财大气粗的,而且有大量的服务商盯着看着。

一位常年与央企网络安全负责人打交道的超级销售称:“客户知道他们在信息安全方面的支出低于其发达国家同行的支出,但是他们也知道中国的国情,即使争取到了可观的网络安全预算,也很快会被领导一句话,就挪做他用。”

这就是央企国企的企业文化的一部分,网络安全负责人无奈也没有办法。不过,如果硬着头皮要上,那最好也是从文化入手,即少花钱买“物品”,多用“人力”,以建立网络安全文化。网络安全领域传统的观念就是安装硬件设备,安全人员喜欢这样做,因为外行的领导们不懂,当然,这闹出过很多笑话,比如一套软件一张光盘一千块领导觉得贵,把同样的软件装进工控机十万块领导却觉得值。不过近些年来,领导们越来越聪明了,他们不再迷信机器设备这些硬件,而是更注重人的因素。这也是一个潮流和趋势,设备设施是为人服务的,也要人来使用的,安全亦是如此,需要与人互动起来,才是真的安全。

建立企业网络安全文化,通过内部沟通,让人人懂安全,是最经济实惠的“秀”安全工作的方法,领导们可能不喜欢去机房看那些硬件设备,但一定会喜欢看到职员们展示出来的安全风貌,这就是领导们喜欢玩儿的,安全文化的体现。网络安全文化的体现会在哪些方面呢?董志军举出如下几个例子。

密码或口令的保护,密码出入各类信息系统的钥匙,是网络安全防御体系的重要一环,央企职员们可以使用容易创建、容易记忆、复杂而强大的密码来帮助提高网络安全性。这需要网络安全团队强化宣传,以激励职员们保持更健康的密码习惯。在职员们为领导们演示工作时,输入复杂的密码登录系统,与输入简单的密码,或者看着屏幕旁边的小纸片上记录的密码,给领导的印象会截然相反。

机密与隐私的保护,领导到办公区走走,看到有的员工不在座位上,但涉密信息却被摆放在桌面,有的员工在微信中随意披露工作内容,有的员工将工作文件上传到互联网云盘上,领导肯定会有些担心。与之相比,领导看到不在座位的员工桌面仍然很整洁,电脑屏幕也被锁定起来,其他的员工在离开座位时也收拾好桌面,并习惯性地锁起重要物品和电脑桌面。即使领导嘴上不说,心里也肯定会有自己的认识和看法。

恶意软件的感染,从来未感染过或听过受到恶意软件感染的机构,和感染了勒索软件的机构,给领导的印象绝对是截然不同的,即使领导是个网络安全方面的技术外行,但是显然,人们会有一个常识,电脑文件被勒索软件加密,绝不是偶然的因素,而无疑体现出网络安全综合水平的落后。

通常上述几个例子,相信不难理解网络安全文化的重要性,网络安全文化并不是虚无的东西,也并不是表面的东西,而是实实在在的网络安全治理管理体系的组成部分。文化的养成源自行为习惯的塑造,而行为习惯则源自于对网络安全的积极和正确的认识。如果人们不认为安装安全补丁有什么用处、甚至觉得是麻烦事儿的话,他们就不会及时安装软件的安全补丁,系统和网络的安全漏洞就会一直存在,一旦遭遇网络安全威胁,风险便随之而来。

不要以为通过扫描网络漏洞、识别和监控网络安全入侵行为,建立网络安全事件快速响应计划等等措施就可以替代掉对职员的安全文化熏陶工作,网络安全是一项全民的工作,针对网络安全威胁的战争亦是如此,不能仅仅依靠专业团队,全民用网络,全民要防范。

借助新型的安全意识培训产品,央企网络安全负责人可以快速、轻松地部署以培训员工安全意识的在线网络教育课程,内容包括安全意识基础和安全意识技术。在线网络教育系统通常还使管理人员下载报告以识别已完成课程和未能及时完成课程的职员。

当然,网络安全文化的建立并非一两次安全意识培训活动就可以达成,要不断地放在实践中去检验,网络安全现场审核与检查、人员网络安全意识访谈、模拟网络钓鱼攻击等等活动,都是花很少钱,却能同时衡量和促进网络安全文化建设的好方法和好工具。

确保网络安全法规与政策的落实,需要拿得出的东西来激励人们学安全、行安全。创建网络安全文化不能虎头蛇尾,要坚持不懈,定期进行全员安全意识刷新是必不可少的工作。

为帮助各类型企业机构的网络安全负责人员,昆明亭长朗然科技有限公司推出了网络安全意识培训与文化宣传服务及课程内容资源,欢迎联系我们,洽谈采购与合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

当禁止浪费之风刮向网络安全行业

infosec-return-on-investment

尽管扩大内需是提升经济活力的重要法宝,铺张浪费仍然被主流世界所诟病,勤俭节约仍然是中华民族的美德。

自中央国家安全委员会、中央网络安全与信息安全领导小组成立以来,网络安全显然已经上升到了国家战略的层面,更成为各级党委和政府的重要工作项目,相关的投入似乎应该上一个新台阶。但是,受“禁止浪费政策”的影响,各地并不敢贸然大举采购网络安全设备及信息化系统。

其实,要说与发达国家相比,我国网络安全在信息化总预算和投入的比例一直较低。在国家日益重视信息安全的大环境气氛下,提升安全方面的预算比例应该是彰显工作政绩及遵循合规的一个手段。

为什么实际情况不够理想呢?昆明亭长朗然科技有限公司网络安全顾问董志军说:网络安全毕竟有些技术门槛,这个领域内的“奢侈浪费”不容易被人们特别是外部人员发现,特别是当技术和产品披上知识产权外衣的时候,一台设备或一套软件值多少钱,谁都不能轻下诊断。

不过尽管如此,网络安全与信息化办公室的决策人员们还是心有顾虑。一方面政府机关及大型企业反腐败反贿赂活动风头强劲,本身都能过上好日子了,为了收入上的数字多那么一点点,而冒失去未来大好生活的风险不值得。另一方面则是担心即使自己毫无私心,也可能犯下决策性的错误,花了大钱,没办成事儿,反倒毁了自己的前程。

如果说招投标采购“污水横流”可能有些夸张,“乌烟瘴气”也有点太过,但是说“劳民伤财”可算是恰到好处。为了一个无关紧要的参数折腾数百人又是加班开会又是半夜弄标书的情形真是惨不忍睹,然而即使这么累,真正能够用到网络安全及信息化实际项目活动中的钱,往往不到总数的一半,大半的钱当然被潜规则了。可现在,只要一个不小心,下属犯错的连带责任也会让决策者吃不了兜着走。

而说到网络安全产品,无非是为了达到某种控管效果,解决某个或多个安全问题。如果使用技术手段防范某个技术层面的问题,早已不是什么难题。难在这些安全相关的问题都与人有关,它们并不是仅仅一个或多个产品可以轻易和彻底解决掉的,要么我们的信息安全操控人员无法全力撑控技术设备,要么从表面上解决了这个安全问题,另一个新的安全问题又出来了。

不少网络安全与信息化主管都清楚,多数网络安全设备采购来了之后,仅仅使用了两三个月,新鲜劲一过,便没有多少人愿意去折腾了。当初想要实现的安全控制目标,可能只实现了一部分,但是没有达到预期,尽管表面上这个项目的实施是成功的。前期没暴露出来的问题,在使用一些日子之后可能出现了,特别是影响到了一些其它的使用,这时候人们倾向于弱化这些产品的安全控管能力,比如放开防火墙的访问控制规则。同时,多数IT人并不期望坚守在一个个运维系统上,人们希望有更多的新项目,新机会,所以在心态上,也开始漠视已经完成的项目。于是无形中,这些网安全产品就成了摆设。

可网络安全重在运维,前期采购天融信、启明星辰、联想、东软或绿盟等某个厂家的防火墙产品其实关系不大,把这些产品真正用起来实现控管目标才是真正重要的。亭长朗然公司董志军说:很多信息安全主管都明白,除非现有的网络安全设备在性能上无法满足业务增长的需求,否则没有必要更换新的设备。而在安全控制的目标方面,无疑仅仅依赖更多的技术手段比如新功能是不够的,实现信息安全的目标,更多的是需要管理的手段。

而在信息安全管理方面,不能独立于其它管理制度和工作流程,更需要和组织文化一致,这显然也是个很大的难题。管控的松紧是一种科学,更是一种艺术。紧巴巴地把互联网给断了,惹众怒,不行。松垮垮地放开任意网络访问和接入,不断违反了国法又给组织引来安全威胁,也不行。不过要找咨询顾问服务来解决这些东西,也没门,厂商也不会深入这些组织内部的问题,他们只希望将一套套模板稍稍修改,早日让项目了解了。

不过,也不要以为在网络安全方面保持现状不外花钱就是在为组织省钱和做贡献。亭长朗然公司董志军说:网络安全行业的问题我们已经剖析了这么多,核心问题的解决都离不开组织内部的人员,包括IT人员和非IT人员。

如何解决人员相关的问题呢?一方面,要让IT人员忙起来,让旧的设备跑起来,让IT安全运营方面的成绩受到新项目成绩同样的高规格礼遇。另一方面,针对全员的,在信息安全管理方面下功夫,在信息安全制度流程的建设上,寻找多个大家都能理解和接受的平衡点,工作重点在于信息安全意识的沟通和网络安全理念的推广。

网络信息安全专业领域有句话:三分技术,七分管理。现在的人性化管理不能是军事化命令与控制的那套儿,而要重在全员沟通、重在流程协调。网络信息安全行业也是如此,更多的投入应该在人性化的信息安全管理层面,发动信息安全意识宣传推广计划,将安全控管需求及目标、安全制度和流程以及安全技术手段结合起来,才是正确的省钱之道。

想想看,五百万的网络安全预算,增加一台两百五十万的可能会成为一个摆设的网络安全新设备,通过潜规则让两百五十万落入员工们的口袋,从此担心吊胆好呢?还是花上两百万的预算,采购一台真正能用上的设备和一些信息安全管理及宣传服务,将三百万拿来光明正大地奖励IT安全人员的运营贡献以及优秀员工的良好安全行为要好呢?

人员People,流程Process,产品Product(亦可称技术Technology),这“3P”是信息安全管理的三要素。网络安全与信息化工作者们,想要防止浪费,又要有所成绩,应该知道如何将这三要素有效结合起来,即能让省钱并且让钱光明正大地进入员工们的腰包,又能提升网络信息安全制度化管理水平,还不误网络信息安全技术的提升,最佳的方式,无疑是从强化全员信息安全意识开始。

年底快到了,想要有所成绩的网络信息安全管理者们,欢迎联系我们洽谈业务合作哦!您可以在线体验一下我们的信息安全意识培训产品,或者通过我们的信息安全意识推广计划了解更多内容。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898