对安全意识市场的一点批判和反思

人们对信息安全存在很多误解,缺乏良好的知识来源。曾经数十次曝出多家上市网络安全公司“忽悠”网民,夸张和扭曲网络安全威胁,借助媒体之力恫吓网民和潜在客户,后来又被网络安全同行“打脸”的糗事。其实网络安全公司的技术专员们何尝不知道实情呢?他们的声音要么过于技术化,不为普通网民所理解,要么被压制被消除,因为真相往往不利于其借机赚钱,也就是推广和销售网络安全防御设备。在这方面公关和媒体人员常常配合得天衣无缝,他们企图操控网络安全知识方面的宣传权,在每一起网络安全热点事件到来之时,通过制造恐慌气氛,来诱惑客户们采购新的网络安全设备。与之相对比的是网络安全监管部门的网络警察们,尽管他们的技术研究不是很受商业利益的驱动,因此不如安全公司那么卖力和先进,但是网警们是为党和人民服务且端着“铁饭碗”的,所以他们往往是比较技术中立的,对厂商的商业化宣传倾向也往往显得嗤之以鼻、不屑一顾,因而通常会向网民们给出真实的、客观的网络安全建议,尽管他们常常从防范网络罪犯的角度出发,缺乏整体性和全面性。

看到网络安全公司企图“垄断”媒体“毒害”广大网民和企业级客户时,任何善良的网络安全从业人员都为此感到悲哀和气愤。对此,昆明亭长朗然科技有限公司信息安全宣传指导员董志军表示:商业广告越来越隐秘,通过伪知识进行“洗脑”来诱导消费,是包括网络安全公司在内的各种有“知识”门槛的行业常用的招数,这对于“不差钱”的富人和“暴利”的机关单位来讲,倒无所谓,但是对普通工薪职员和竞争激烈的微利型公司企业来讲,就难承受。因此,这就造成大量家庭和个人用户,以及中小型企业在网络安全方面的防御力不足,进而更容易被不法分子入侵、勒索、盗窃和破坏,让广大群众和中小企业的生存“雪上加霜”。

错误的“知识”误国误民,正确的知识改变命运。客观中立的网络信息安全知识必定是不会指导人们使用某厂商的网络安全设备类产品的,因此,网络安全产品厂商并不适合创作科普性的网络安全知识,当然这只限于有社会良知的和有自知自明的厂商。那么,如何判断市面上的“网络安全知识”是否可靠可信呢?答案很简单,看该“网络安全知识”提供商是否有其它网络安全相关的产品和服务,比如防病毒产品、防火墙产品或上网行为管理产品等等,如果有,那其提供的“知识”就不是十分的可靠,就有一些产品推广的倾向性。这并不表示这些厂商的“知识产品”就一无用处,只是选用的话,需留个心眼,不要陷了进去,过度依赖厂商,缺乏独立自主的网络安全能力,进而被厂商一直牵着鼻子走。当然,也还有一些情况,就是厂商OEM其他课程创作者的内容,这种情况就要看其OEM作品的创作厂家的业务产品线了。

如何让信息安全意识走向正确的轨道上呢?商业企业对网络安全知识的干扰难以完全避免,甚至有的网络安全企业会在信息安全意识方面很积极,因为他们能够认识到信息安全问题的解决不能仅靠技术和产品,信息安全离不开人员方面的因素,而且很多技术和产品的使用也需要人员具备基本的网络安全知识。在网络安全入门知识普遍缺乏的初期,并不见得是坏事儿,相反,早期很多网络安全很多知识的科普往往都借助于网络安全企业的培训业务而成长和开展的。但是网络安全公司往往并不会把安全意识培训当成重要的业务,因此,也不会在这方面进行深度的课程研究和作品开发。独立的安全意识服务商、课程开发商便随之诞生,广义上讲,这也源于社会分工越来越细化的结果。不过,商业永远没有人们想象的那么单纯,有分化就有整合,有的明智的网络安全企业会先将安全意识培训业务进行独立拆分,然后进行业务外包,再进行优化整合。这看起来折腾一路又返回的作法其实是有门道的,那就是激发宣教培训系统、课程内容和作品资源的开发激情及创作活力,激情活力产出创新的技术和产品,没有热情,是无法做出好的东西的。

那么,直接找专业只做安全意识的厂商如何呢?当然他们往往不会受特定产品和技术的束缚,“知识”会比较中立,但比较令人失望的是往往卖的好的厂家作品往往不怎么样,但广告宣传必定是一流的。中国市场规模之大,只要叫卖的声音大,就能被更多的人听到,加之人们的从众消费心理,往往会导致一种“乌合之众”盲目消费的羊群效应。在此,董志军补充说,我们并非自命清高,有能够帮助客户的产品,要让客户知道,进行广告宣传必不可少,在媒体上投放广告位这些作法很正常。但是某些厂商搞网络水军,狂乱的发大量帖子,污染正常的互联网信息环境,企图霸屏来挤走竞争者,这就不足取,这种貌似扰乱市场竞争环境的作法很为有知之士所诟病。我们相信,这种霸道贪婪的作法,就如同那些密集的广告推广电话一样,效果是被广大客户所唾弃。说到底,商业竞争的核心还是要以更好的产品和服务,更低的价格来比拼。歪门邪道的做法最多让你猖狂一时,不会让你荣耀一世,国家网络安全监管机关和互联网公司不断更新治理手段和技术措施,来打击水军,来清理互联网上的不利信息就是实证。说到底,网络安全知识的熏陶是一个长久性的工作,这份事业不适合短期投机者,因此长期主义者不耻于干那种不道德的短期推广行为。

我们也不是为自己没有抢到市场的大块儿蛋糕而辩解,东西卖得不好说自己是不在乎钱只在意拯救世界那是弱者的表现,就如同穷人并不见得道德就比富人更高尚一样。但是把事情明明白白地说出来,能够提醒客户市场现状,警示客户免于掉入陷阱,这种正直、诚实、勇敢的品质是值得肯定的。而在这个信息爆炸传播、消息充斥且稂莠不齐的时代,想创作出正确的信息安全意识知识作品,就必须具有这些珍贵的品质。

希望我们对这个市场的批判和反思,能够让信息安全与机密保护的管理者们了解一些市场“内幕”,进而成为精明的网络安全意识产品和服务的消费者。如果您对本文中的内容有所意见,或者有想说的,欢迎不要客气地联系我们,和我们聊一聊您的看法和观点。如果您有兴趣发起安全意识宣教活动,您可以联系我们,看看我们的产品和服务可以在哪些方面帮到您。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

针对高层高危群体的信息安全保密意识

通常来讲,职位越高的高层人士,掌握的敏感和机密信息也就越多,当然也更容易成为网络诈骗和犯罪分子的攻击对象。除此之外,高层人士身边的人群,比如秘书,往往也是高危人群,因为工作关系,他们也能接触到不少内幕、机密和领先的信息,而且他们的信息系统访问权限往往也非常高。

自然,要对抗狡猾的犯罪分子,最重要的就是加强高层和高危群体的信息使用保护,不过即使我们能够为这些VIP用户设置特别的安全保护措施,也难以完全替代他们,就如同管家不能轻易取主人而代之一样。昆明亭长朗然科技有限公司保密培训顾问董志军说:高管们、秘书们属于信息保密的高危群体,属于“涉密人员”,必须拥有与其工作角色和职责所对应的信息安全意识与保密能力。

如何提升这些高层高危群体的信息安全保密意识和能力呢?诚然,也需把他们当VIP特别对待,给特别的信息安全意识与保密培训。总体来讲,VIP要接受的安全保密教育要比普通员工的更有深度更有针对性。

基于工作中所扮演角色和职责,我们应该为其挑选适用的培训内容,高管可能没有太多机会像普通员工一样天天混迹于工作区域内,但是他们的差旅和会谈活动却会多出很多,所以相对于针对全员的培训内容,对高管们,我们可以弱化办公室工作场所安全方面的内容,强化在外安全、防范口头泄密等方面的内容。

除此之外,高管们和秘书们往往过于忙碌,没有太多时间花在常规性的安全保密意识学习上,这就需要培训课程尽量简短,直接进入重点。压缩和提炼出信息安全意识教育资源中的内容精华是关键的步骤,具体的方式,则应该考虑更适合他们的方式,即使能面对面沟通,准备一段精炼的小视频,也是很好的。

如果要做到更好,对于秘书来讲,如果时间充足,让他(她)们多学习些针对普通员工的课程,似乎也不是什么坏事儿。对于那些领袖型的高管,还有两种方式可以激励其发挥信息安全保密的主观能动性。昆明亭长朗然公司董志军说:第一、让高管向全体员工展示对信息安全保密工作的重视和承诺,是一举多得的好事儿,签署单位层面的安全保密政策、录个讲话视频、发个内部邮件等等都是不错的做法;第二、让高管在中高阶管理层中上展示信息安全领导力,可以通过常规管理层业务会议、安全相关工作碰头会、管理层信息安全研讨会等等组织相关的活动。通过这些活动,高管不仅展示了对信息安全工作的支持,尽了职尽了责,还带了头,起了表率作用,对整个单位的信息安全意识提升也起了正向的促进作用。

对IT、安全、保密、培训人员,我还有一个忠告,就是在短期内,不要轻易去当一些网络安全厂商的小白鼠去尝鲜,去忽悠高层出钱支持购买什么由大数据和人工智能技术驱动的自动化安全威胁感知和风险消除系统。因为高管虽然在IT和安全技术上不如专业人员,但是他们毕竟也是人中精英,怎能不清楚那些玩艺儿有些用,但“盛名之下,其实难符”呢。除此之外,更重要的是,那些系统无法充分和有效地结合领导与管理话题,而这些话题才是高管们真正熟悉、觉得有价值和愿意去做的。

位于春城的昆明亭长朗然科技有限公司专注于安全与保密意识的培训资源设计开发和服务交付,我们有针对高层高危群体的信息安全保密意识课程,也有大量的动画视频和课件模块以供选择及组合使用。欢迎联系我们索取资源清单,和洽谈采购。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898