信息安全意识是信息安全的一个不断发展的部分,其重点是提高人们的防范意识,以针对快速发展的信息形式带来的潜在风险,以及针对人类行为的快速演变威胁。随着威胁的成熟和信息价值的增加,攻击者已经增强了他们的能力并扩展到更广泛的意图,开发了更多的攻击方式和方法,并采取了更多样化的动机。
随着信息安全控制和流程的成熟,可以规避控制和流程的攻击手法也随之成熟。攻击者已经成功定位目标并利用个人的行为来破坏组织网络和关键基础设施系统。不了解信息威胁的个人可能会在不知不觉中绕过传统的安全控制和流程,并导致组织遭到入侵和破坏。作为这种安全态势的应对措施,信息安全意识从无到有,现阶段正在逐渐成熟。
当前,网络安全作为一个商业问题已经成为大多数首席信息官的主要议程,这展示了应对当今网络威胁,新型控制的需求呈上升趋势。对此,昆明亭长朗然科技有限公司信息安全意识专员董志军表示:信息安全意识的宏观目标是让每个人都意识到他们容易受到当今威胁形势中的机遇和挑战的影响,进而改变人类的不安全行为并创建或改进组织的安全文化。
信息安全意识产业正在不断发展,以应对不断演变的针对个人信息的网络攻击,以及应对大规模信息安全漏洞带来的不断增加的成本支出。此外,许多人总是从技术控制方面考虑安全,没有意识到个体人员才是攻击者针对和利用的目标,他们的行为可以增加风险的级别,反过来也可以成为应对风险和威胁的控制措施。
评估和衡量信息安全意识突出了对准确指标的需求。为了满足这一需求,信息安全意识指标正在迅速发展,以便了解和衡量人类威胁状况,衡量和改变人类的理解和行为,衡量和降低组织风险,并衡量将信息安全意识作为对策的有效性和成本。
虽然信息安全意识和备受瞩目的违规行为是大多数组织议程的重中之重,但是大部分的组织并不愿意在这方面花钱。首先,成功的安全意识计划需要高层和财务支持。其次,传统上的安全控制和对策大多都是技术性质,理解和改变人类行为所需的软技能比较缺乏。最后,就成熟度模型而言,安全意识仍处于起步阶段,相关国际机构各自为政,行业厂商都处于野蛮生长状态。
有效地衡量人类风险行为很困难,因为风险行为、信仰和看法往往是未知的。尽管如此,仍然不乏一些衡量指标和方法,有定期运行安全意识水平考核或模拟网络钓鱼活动的机构,往往能拿出一些量化图表,当然这些衡量标准是否科学,客户的接受度认可度如何仍然有很大存疑。
昆明亭长朗然科技有限公司是国内最早进入信息安全意识领域的实践者和领航者,我们帮助各类型组织机构建立适当的信息安全意识宣教计划,以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:[email protected]
- QQ:1767022898
