在IT专业人员特别是技术极客眼中,传授人人皆知的安全意识,把安全道理和知识用大白话,让没读过书的人听懂,没什么挑战,一点儿技术含量都没有。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:信息安全技术专员们往往以为技术可以改变世界,这在早年,还有些道理。可是现今,这种说法的正确率降低了,信息技术已经普及到各类人群,甚至老年人都会使用智能手机,以及各种APP应用。当然,随着这些移动计算设备和APP应用的渗透,安全保障措施也越来越强大。然而,仍然有各种各样的原因,让众多用户成为网络不法行为的受害者,同时,造就了一批又不批的网络不法分子。
显然,在广大群众接受了领先的信息技术产品和服务之时,他们缺乏与之匹配的安全能力,包括最基础的信息安全知识和技能,这就形成了信息安全意识方面的差距,这种差距对某些群体或个体来讲,简单就是无法填充的“鸿沟”。因此,安全意识并不容易,相反却是真的很难。在相关部门、媒体和厂商主导的舆论宣传中,恐吓和说教的比较多,很少有基于经验的指导。
信息安全是一个状态,更是一个过程,组织机构会在整体过程中逐步建立和加强自身的安全体系。简单说:安全是一个旅程而不是一个目的地。尽管信息安全流程有许多策略和活动,但是我们可以将它们全部分为三个不同的阶段——预防、检测和响应。
对于一家组织机构来讲,除非员工了解他们在保护敏感数据和保护关键资源方面的角色和责任,否则世界上最好的安全技术无法提供充足的帮助。这样讲并不是否定技术控管措施的价值,更不是打脸技术专员。信息安全是一套管理体系,包括人员、流程和技术,流程涉及到法规、制度、政策、标准、实践和指导等等,人员与流程密切相关,必须培训员工,使其能够识别威胁和避免风险。
安全策略只有在员工接受过适当培训的情况下才会奏效。因此,提供信息安全意识培训的重要性不容小觑。意识计划的目标不仅仅是让员工了解潜在的安全威胁以及他们可以采取哪些措施来预防这些威胁。更大的目标应该是改变组织的文化,认识到安全的重要性,并获得最终用户的认可,作为抵御安全威胁的额外防御层。
要让员工准备好协助保护组织的信息安全,远远比找个老年人聊一聊网络安全要广泛和复杂的多。信息安全过程的最终目标是保护信息的三个独特属性,即:机密性、完整性和可用性。有些初入职场的新人,对这几个术语都是一头雾水,似乎没有必要展开更多。实际上,这种理论化的东西,却也是最基础的,入门必须的,因为很多问题和解决方案,都可以围绕这些基本术语展开。
- 机密性——信息不泄露给非授权用户、实体或过程,或供其利用的特性。简言之:信息只能由授权查看的人员查看。
- 完整性——信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。简单说:信息不得损坏、降级或修改。
- 可用性——可授权实体或用户访问并按要求使用信息的特性。一句话:信息必须在授权人员需要时提供给他们。
攻击以多种方式危害系统,这些方式会影响上述属性。对机密性的攻击将是未经授权的信息披露。对完整性的攻击将是信息的破坏或损坏,对可用性的攻击将是中断或拒绝服务。
如果专业人员这样和用户培训讲解信息安全,那路子虽然对,但是不够“亲民”,因为其缺少实例。
信息安全意识方面的专员,则通过以下方式宣传这些属性:
- 机密性——信息不泄露给非授权用户、实体或过程,或供其利用的特性。例如:支付密码及验证码等不泄露,如果泄露了,机密性就受到了破坏。。
- 完整性——信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。例如:交易数额是正确一致的,如果不一致,那交易就陷入混乱,完整性就受到破坏。
- 可用性——可授权实体或用户访问并按要求使用信息的特性。例如:交易时不会突然说系统故障或正在维护,如果遭遇黑客攻击或断电,那就是可用性受到破坏。
组织机构通过适当的安全措施,包含技术措施和流程措施,可以成功地保护这些属性。在事件发生前进行适当的规划将大大降低攻击的风险,并大大提高在发生攻击时及时有效地检测和响应的能力。
理想情况下,安全意识计划负责人员需要向以下部门寻求帮助,以建立安全意识计划和宏伟目标。
- 人力资源
- 安全保密
- 信息科技
- 沟通宣传
- 法务合规
一旦有了这些团队,需要有一个很棒的故事和动力让他们参与项目计划。例如:由人力资源培训专员对现有的培训资源内容进行洞察。沟通宣传专员梳理沟通流程,以便积极融入而不是束缚员工。信息科技部门,特别是帮助台专员将确定如何直接与员工沟通,使用什么样的语言措施,以及需要哪些知识材料;此外他们还将解决电子邮件中涉及的技术问题。法务合规专员则负责对培训承包商和顾问人员的合同进行审核。
一旦制定好计划,剩下的就是得到员工的认可,工作重点就可以转向确保他们获得保护业务安全所需的必要信息。有效的安全意识计划应包括对特定威胁类型的教育,包括但不限于如下主题:
- 恶意软件
- 社会工程
- 网络钓鱼
- 物理场所
- 计算设备
- 网络应用
- 信息保密
- 数据备份
- 邮件安全
- 社交媒体
- 在外工作
- 法规遵从
一个好的信息安全意识计划突出信息安全的重要性,并以简单而有效的方式介绍信息安全政策和程序,以便员工能够理解这些政策并了解安全作业程序,进而在工作场所遵循的有关网络安全、数据保护相关的政策和做法。
总之,员工们需要了解保护客户和同事信息的价值以及他们在保护信息安全方面的作用,还需要对其他风险以及如何在网上做出良好判断有基本的了解。培训员工是取得信息安全成功的关键要素,这不是一件简单的事情,需要专业的安全意识计划、可量化的目标和可行的科学方法,需要有一个团队来实施,也需要优质的资源内容。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。