化解信息安全管理中的沟通不畅难题

很多IT人无疑被赋予了参与内部信息安全管理的重任,可是不少信息安全专业人员老是觉得不受高阶管理层的重视。昆明亭长朗然科技有限公司企业安全管理顾问董志军说:组织机构的管理高层往往并不了解太多安全技术行业术语,显然不能轻易放下面子、也没有太多时间来了解这些术语的含义。所以,IT背景的信息安全人员在与高层沟通时,要注意避免讲纯“技术话”。

了解一家组织机构的信息安全问题并不太难,特别对于那些有审计相关工作经验的人来讲。在工作区域走一走,看一看,便能粗略了解该单位的信息安全管理大致现状及治理水平,更何况那些在职场环境中常期工作的信息安全专业人员呢!实际上,我们不需要太多系统层面的安全漏洞扫或脆弱性描评估报告,就能找出一家组织机构最需要迫切解决的信息安全问题。

知道深层次的信息安全问题并不一定就能很好的解决掉,即使有不少专业信息安全从业人士知道该怎么解决这些问题,但并不一定能够解决好。其实,很多企业级别的信息安全问题,并非能够从技术层面有效解决。人们常说:信息安全管理中最薄弱的环节是人员。要从“人员”的层面解决信息安全问题,毫无疑问,需要从信息安全认知沟通开始。

不少信息安全从业人员以为信息安全沟通就是把自己所懂的安全知识和能力都传授给他人,这显然不符合有效沟通的目标,再说对于管理层和常规用户来讲,他们并不需要了解太深入的信息安全知识,或者成为IT人一样的专家。

很多企业安全管理团队根本无法吸引高层领导们的重视,不能单向面认为是高层领导们的工作失误或者认识欠缺,安全管理人员要学会业务语言,并且扩大传统的安全认知范围。高管们最不喜欢的是安全人员一来就滔滔不绝地谈论如防火墙、黑客入侵防范等安全技术,所以我们要使用商业语言——从业务信息风险开始是很好的切入之道。可是我们也不能只将目光局限在IT安全这一个小领域,我们的安全管理团队需要站得高,看到全局,就需要将更大更广的安全治理架构纳入的话题中来。

跨部门的安全协作可以帮助我们扩展“大安全”视野,财务部门关注较多的是业务流程比如交易的安全、财产的安全、欺诈防范、风险控管和内部审计。在信息化的过程中,显然信息系统和信息数据的保护也会成为重要的一块儿。传统的物理安全如工作环境、生产安全、职业健康、消防安全等等也是保障信息安全的重要支撑。了解得越多,越有利于探讨出合适的全面的信息安全问题解决方案和计划。

在很多信息安全问题解决方案中,仅仅得到了高管们的支持和赞助还不够,因为很多信息安全决议都会影响到最终用户,也就是常规用户。常规用户往往并不如高管们那么“识大体”,所以对不同岗位群体的用户要有针对性的沟通方案。不过,常规用户虽然不那么“识大体”,但是更容易受到上司和周边同事们的影响,所以紧紧抓住各部门领导和沟通协调人员,通过他们来促进信息安全沟通才是正确的方法。

由上我们可以看到,一种有效的化解沟通不畅的方法是将用户按角色进行划分,对不同岗位的人员设定不同的沟通战略和内容。亭长朗然公司董志军举例说:对中、高阶管理层,通过面谈和会议为主,在线的信息安全意识培训课程为辅。对于常规用户,以在线的信息安全意识培训课程为主,同时要求部门负责人,即中阶管理层强化本部门相关安全流程相关的宣传。

信息安全所面临的最大威胁不是外部黑客,而是内部员工。更准确地说,信息安全管理中的最大问题是内部人员的安全意识沟通问题,安全管理及员工培训负责人需要用受众能够接受的语言和形式,需要通览全局站在“大安全”的角度,又需要兼顾不同为不同角色和职位的员工们制定不同的信息安全意识教育计划。

corporate-communication-system-and-people

欢迎您联系我们,探讨更多这个话题相关的内容。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

金融服务行业要加强员工安全意识培训

近期金融行业安全丑闻再起,央视315晚会曝工行、招行、农行员工兜售客户信息,三月底又爆出全球最大线上交易付款服务公司之一的Global Payment信息卡数据库被黑客入侵。

招行是银行界的创新服务标兵,315晚会曝光的胡斌更是招商银行信用卡中心风险管理部贷款审核员,通常提到风险管理,提到审核,人们都觉得从业人员在严格的控管环境中受到无形的熏陶,应该有较高的安全觉悟和保密意识,特别是在保护机密客户数据防止外泄方面。

然而事实上并非如此,虽然作者本人并无金融服务公司的工作经验,但举亲身经历的例子可窥一斑,在联系同一家银行要求进行密码重置时,从多名银行工作人员那里获得的密码重置流程和所需提供的证明资料并不一致,甚至有的表明不清楚,排除沟通中可能存在理解的误差,以及银行员工岗位和知识面的限制,我们仍然也可看到其内部的安全控管流程并不为多数员工所了解,其根本原因是进行安全控管的精神和理念不为员工所理解和接受。

说到底,很多大型金融机构都是中央控管,比如总行设置统一标准的安全控管体系,各地分行支行都按照同一模式运作,根据规模大小可能在产品和服务的项目上有所差异,这种中央控管的方式最大的好处在大批量的规模化优势,标准化的服务体系也避免了重复性的工作,在这儿我们不谈个性化服务和地域差别等因素,在安全控管方面,远离中央的分支机构只需按总部和上一级制定的标准框架,或由其它网点转派的领导进行复制,即可以轻易搭起服务体系,毕竟金融机构通过建立这多网点也积累了丰富的经验。

中央控管不足之处是分支机构内的员工普遍缺乏业务一体化的观念,在安全控制和防范上,只了解“该怎么做”,但是“为什么要这样做”的基础理念不够,因为“为什么要这么做”由总部在制定各个规章制度、各种岗位职责等等的时候给包揽了,而在员工培训时只重视告诉其“该怎么做”,忽视向员工告知这些规章制度的缘由和精神理念,除了部分员工会在工作中慢慢领悟和理解这些道理,多数员工会慢慢淡忘掉那些和日常工作关联并不太大的规章制度,自然结果会表现在员工为了点蝇头小利,躲避或忽视安全制度,进而铤而走险,最终给自己和公司带来信誉方面的损失。

金融服务业虽然是暴利产业,但在信息化时代,却面临着各类信息安全相关的威胁,信息系统与服务本身的安全性往往有专业的团队和服务机构帮忙,但面对客户的网上交易、移动支付等等多种金融服务的安全状况并不容忽视,尽管金融业有值得骄傲的安全控管体系,用户终端的安全不能仅仅靠一纸法律协议便让用户自行承担自行失误或无知所造成的金钱损失,不过,在营业厅悬挂大屏幕对用户进行培训是值得肯定的举措,不过无疑应该加强更多惠及客户的内容方面的制作和发布。

金融机构内部工作大都都已经信息化,尽管关键业务系统和办公系统有物理隔离,更有其它信息安全相关的控管措施,不过,最难的也最需要进行的是对员工进行安全意识培训,使他们不仅能够了解“该怎么做”的工作规范和流程,更要让他们了解“为什么要这样做”的基础理念,只有这些基础的信息安全理念被员工们所理解,他们才能真正从内心接受对其工作规范的要求,才能真正保护起客户的信息安全和公司的商业信誉以及业务成功。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,不过新闻一出,仍然导致其公司股价大跌9%。

金融服务机构在安全事故的处理上,也应该向Global Payment学习,保护客户的利益,应该做到及时透明的沟通,让客户在第一时间意识到安全事故对自己的影响和了解到需采取的后期应对措施,此外,尽管安全意外事故和不良员工行为不可能100%避免,加强员工的安全意识培训可以降低安全事故和不良行为的发生概率,更能在发生安全事故后进行及时和正确的响应。