驱动信息安全意识教育三大力量

infosec-awareness-training

在国内大的背景下,面对家庭和个人用户的计算终端安全都已经免费;而面向企业级的网络信息安全产业似乎只为特定行业而生,大到拿国家项目巨额补贴的信息安全概念股,小到分食信息安全集成项目的独立安全顾问,无一不是在吃党和政府的“政策饭”。

刚性的需求也有,病毒、黑客和商业间谍只是众多安全威胁的一小部分,虽然开源的系统足以满足大量的企业级安全控制需求,但是开源是技术极客和英文高手们的天堂,懒汉和菜鸟们只能仰天长叹。同时,基于开源系统的安全服务概念尚未被成功商品化,多数厂商只能雇佣一批批软件开发人员,勾画出华丽而傻瓜化的中文界面,尽管其核心仍然是开源技术,然而在知识产权的激励机制下,便摇身一变,成为民族的“自主创新技术”。更重要的是,这些软件产品,外加上特别的硬件“盒子”,便很容易变成明码标价的网络信息安全产品。

信息安全培训和意识教育又是整个信息安全产业中的一小部分,当然也不能免俗,不过教育培训多倒是赤裸裸的服务,放在企业培训领域,信息安全培训则更像是沧海一粟。从人力资源的角度看,信息安全培训和意识教育是必不可少的,至少在信息时代,人们有信息资产如信息数据和信息系统需要保护,保护这些信息资产的人们需要有一定的安全能力和资质,显然这需要靠培训来获得。

然而,这些似乎并不是企业层面进行信息安全意识教育的驱动力量,那么驱动力量何在呢?昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点:

法规遵循政策驱动

今天的上市公司不仅会被要求防范黑幕,更被要求进行必要的信息保密和披露措施,显然管理层如果不对员工们实施必要而充分的安全意识培训,在出现类似欺诈交易等恶性事故之后,很容易被监管层狠批在员工安全意识培训上不够称职。

而特定的行业则面临监控机构更多的安全规定,其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容,只是一小部分,但是仍然需要安全意识培训方面的计划以及培训的日志记录。

应对法规遵循政策驱动力的安全意识培训应该如何进行呢?亭长朗然的安全讲师Alice Wong说:尽管在针对全体员工的安全培训上只有粗略要求,并没有详细的操作指引或细则,信息安全负责人仍然需要注意两点:一是找出组织机构需要遵循的安全法规,比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循,需要对不同角色人员进行的不同培训。

客户信任业务驱动

大众对个人信息失窃的事件成为安全头条新闻已经变得心寒,并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任,甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易,首先从内部抓起,要加强对员工进行安全和隐私保护教育,防止内鬼为了蝇头小利铤而走险,同时也要教育客户,展示公司的在数据的安全保护方面的作为遵循了法律法规的要求,让客户有足够的信心。

保障业务安全驱动

前两者是外在的驱动力量,而保障业务信息安全,无疑是内在力量,发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说,基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全,然而大部分的信息数据却存在于员工们的头脑之中,而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用,所以为保障业务的成功,无疑需要加强对员工们进行信息安全意识方面的教育。

是否有其它方面的驱动力量呢?当然有,比如提升企业的信誉,彰显管理层的作为、构建学习型组织等等,但是这些并非核心要素。驱动信息安全意识教育三大力量,才是安全意识培训负责人所背负的“三座大山”,昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量,帮助安全培训负责人化被动为主动,最终轻松推翻“三座大山”。

员工的安全意识是商业成功的竞争力

在和一家“走出去”的民营高科技制造企业信息安全经理喝茶时,聊到一个案子:公司安全高管收到一名员工的报告,称发现供应链派来的员工在敏感区域有不恰当的拍照行为。公司安全部即刻展开了追踪调查,在初步发现一些端倪之后,怀疑是一条“潜伏”的大鱼,在警方的协作之下,终于挖出一条窃取机密技术信息的“供应链”,同时也挽回了巨额的潜在损失。

而更有意味的是另一家大公司的安全总监同我分享的,这家公司在同一个城市有多个办公地点,第一天遭遇小偷光临办公大楼总部,两台笔记本电脑被窃;第二天在相隔20公里的厂部同样丢失两台笔记本电脑,安全调查人员研究录像后发现是同一人所为,而且同样都是假装成公司员工通过尾随方式进入了办公区域。尽管电脑被窃员工们及时更改了系统的访问密码,仍然有大量的机密商业数据随着笔记本电脑一起失窃。

我们相信这两个案子都是比较典型的,先拿第一个案子来讲,为了防止第三方员工窃取和出售公司的机密信息,部分公司实施了特别的物理安全措施,比如对访客的笔记本电脑、手机等计算设备进行前台登记和托管保存,禁止带入敏感区域。然而,这样严格执行的只是少部分,大多数公司由于协同工作的需要,并没有严格限制访客的计算设备进入公司内部。一旦访客的计算设备如智能手机进入了公司内部,要想有效控管,无非需要通过访客接待和陪同人员的努力。

看看第二个案子,在门禁安全方面,针对敏感的安全区域,部分公司实施了特别的物理安全访问控制设施,一次只允许一个人刷卡进入,能有效防止贴身通过或尾随。不过这种堪比地铁刷卡通道的安全设施在资金投入方面通常不低,而且影响通行效率和速度,还可能影响到消防逃生,所以很多大公司并未在办公区域出入口安装这类严格的门禁设施。另一方面,由于大公司员工众多,几名员工同时进入公司的情况比较普遍,所以尽管安全部门会要求原则上每人需要刷卡才能进入,具体实践中往往只有走在前面的员工一次刷卡后面的员工便一同进入,这同时也给窃贼以尾随进入公司内部的机会。尽管大公司员工众多,即使员工之间互不认识也可能会面熟,在进入公司内部时,员工如果能要求陌生人自行刷卡进入,则可以有效减少窃贼尾随事故的发生。

很显然,上述两个案子对“攻防”两方来讲,并没有太多的技术性,却和商业机密保护息息相关,而这些商业机密更是当今公司取得商业成功的核心竞争力。这些看似简单而原始的信息窃取手段,即使部署百台网络防火墙、入侵防御系统或数据丢失防范系统也无法有效应对,这些只能信赖员工的安全意识。昆明亭长朗然科技有限公司的安全顾问James Dong说:安全专家要从网络或IT安全向业务信息安全高度跨越,防火墙、入侵检测和防范数据泄露更多是IT安全领域,对业务信息安全的保护不够全面,实际上,保障业务信息安全更多信赖的是操作具体业务的员工。

办公场所安全在信息安全专家的眼中仿佛太小儿科,然而今天我们谈论的对公司成功至关重要的“信息”远不止是传统意义上的如IT系统或数据库的电子数据,“信息”是一切对公司有价值的东西,包括各类商业战略计划、生产制程创新、技术研究成果等等,当然存在形式包括电子数据、纸张数据以及存在于员工头脑和通过口头沟通的信息。

既然员工对于公司的商业信息安全保护至关重要,当然就需要让员工们认识到这方面的重要性,了解自己在保障信息安全方面的职责,并且掌握基本的安全理念,以便能应用正确的安全实践和履行自己的职责。这无疑需要安全管理负责人制定相关的安全政策,并且加强对员工进行安全意识培训。比如针对第一个案子,公司应该制定拍照安全政策和访客接待政策,比如禁止在敏感区域拍照的政策、员工全程接待访客的政策、安全事件报告政策等等;第二个案子则需制定区域访问政策、防尾随政策、桌面安全政策、移动办公设备保护政策等等。

在制定了相关的安全政策之后,要让员工了解和接受这些政策,无疑需要加强对员工进行安全政策的培训,让员工了解这些政策的精神,往往比制定严格而死板的标准作业流程更受欢迎。

简单总结一下,没有哪一项安全控制措施是百分百完美的,信息安全总监和经理们要保护多种形式的“信息”的安全,也需多注重非技术领域的安全控管措施。在大多数的情况下,各类安全控管措施要发挥效果,需要与员工进行充分的互动。而那些为弥补技术控管措施不足之处的旨在保护商业成功的各类安全政策,无疑需要员工的理解和接受,首席信息安全官和安全经理总监们的一项重点工作内容是通过提供安全意识教育来强化员工们的安全职责、安全能力和保护公司商业成功的意愿。