云计算时代来临,移动计算终端也越来越普及,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战。
云计算本身的安全更多要依靠大型的云计算提供商以及技术合作商,即使大型组织拥有私有云,但核心的安全技术还是依赖于平台提供商,所以拥有绝对数量的终端安全成为不少厂家特别是互联网服务商争夺的战场。
然而,互联网服务商提供的终端安全方案并不完全适用于大中型组织,抛开此前爆出的安全丑闻,让信息安全管理者忧心重重不讲,这些厂家提供的终端安全往往是其互联网业务的附属品,它们的目的是为了抢夺市场,增加客户粘性,最多保护互联网用户的个人安全,而并非保护商业组织的安全。
最终用户也不再相信会有更多的防火墙、入侵检测及防御或者安全加密来保护他们的关键系统和数据,他们甚至会认为,这些技术控制纯粹是在浪费金钱,网络接入点无处不在,只要有进入系统的权限,人们可以在任何时间,任何地方自由地获取、处理和分享各类机密的商业数据。
所以,信息安全的成功,对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。
传统的方法之一会使用高压手段,通过建立苛刻的信息安全惩罚制度,赋予经理们下属违规的连带责任,派以频繁的、必出战果的安全检查行动,甚至利用让违规者抓违规者的令牌传递方法。在安全意识教育方面,使用血淋淋的安全事件教训,配之违规一次,奖金泡汤,诛连经理的场景来教育员工,使员工生活在信息安全的白色恐怖之中。
然而这种通过白色恐怖来恫吓员工,企图让员工遵守信息安全规定的做法并不是很好的信息安全管理方法,人们的工作激情受到了打击,协同合作的氛围越来越淡,员工及部门之间的信任关系也受到了重创,企业文化负责人提辞呈了……
另一传统方法是使用铺天盖地的信息安全推广广告,将安全标语、安全漫画等贴进每一个角落,希望借此能不断地熏陶,能唤醒员工们的信息安全防范意识。
可是忙碌的员工哪有时间关心这些东西?在他们眼中,这些和日常工作有什么关系呢?最终他们在安全的行为方面没有明显的变化。
问题在哪里,您需要如何做?您需要像营销天才一样,向员工推销您的安全政策,您不仅需要信息安全方面的专家、沟通管理的专家,您还需要顶级的内容策划设计师、心理和行为学大师以及营销管理大师,最后,您还需要将这一拨人有效地整合起来,形成一个紧密工作的团队。
