漫谈信息安全意识培训政策与对策

近年来,越来越多的信息安全部门被要求处理复杂的任务,而把最佳做法置于一边,这种情况令人忧虑。国家互联网应急中心一位不愿具名的安全老手说:解决复杂性的答案在于信息安全意识培训。

我们可以看到,越来越多的工作任务要由人们使用信息科技来完成。这就让信息系统和环境变得越来越复杂,我们的信息操作员会在多种不同的设备上,使用多个不同的软件应用。在这种局面下,网络防御变得越来越困难。例如,我们很难确保人们都严格遵照固定的安全操作指令要求来行动,这就给攻击者提供了在复杂的环境中实施攻击的机会。

在网络安全防护方面,我们应该如何将钱花在刀刃上呢?国务院国有资产监督管理委员会早对下属国有企业下达了指示:强化组织保障,加强全员信息安全教育培训工作,把相关培训纳入员工培训计划。同时,完善制度规范,建立健全企业敏感岗位的信息安全责任制,加强员工入职信息安全教育。简单说,就是要花更多的钱来更好地培训我们的员工。

当然,除了国资委相关要求之外,网络安全法、保密法、国家安全法、等级保护制度、信息安全管理体系等也都有对员工进行信息安全教育培训的要求。要说国资委等下达的指示多的是,为什么偏偏要特别提及员工安全意识培训呢?昆明亭长朗然科技有限公司员工信息安全培训讲师董志军说:我们分析了很多信息安全事件,发现训练有素、信息灵通的员工可以更好地帮助组织降低网络风险。

那么,该对谁进行信息安全教育培训呢?科技部门人员或用户呢?大多数人会觉得IT团队中的人应得到更多的训练,不可否认的是通过加强对技术团队的安全培训,我们可以让信息系统变得更为安全。但是,信息安全教育培训必须是横跨整个组织的,比如那些有针对性的钓鱼活动,利用的不是技术系统的弱点,而是人性的弱点。所以,在网络安全利害关系方面,所有人都有责任,所有人都是所在公司和家庭的一道网络安全防线。正因为如此,持续性地培训全体员工更为紧要。这其中,重要是通过不断地锻炼和实践,来激发学员的信息安全学习动力。

为什么要持续进行,还要不断地实践呢?董志军表示:一方面,持续不断地进行实践,可以让我们保持安全警觉。这和应对战争的军事准备一样,闲时我们要练好兵,不能懈怠,不然战争威胁来临,仓促应对往往必败。另一方面,不断持续地进行信息安全实践,有利于我们跟进和应对新兴威胁,比如新型威胁已经开始针对生物特征识别了,我们的信息安全教育培训仍停留在密码保护层面,那就不足够。就如同没有及时更新系统安全补丁一样,没能及时更新人员对安全的认知。

如何不断地进行信息安全锻炼呢?在实践中,我们发现的最好的锻炼方式是通过桌面练习和模拟训练。

桌面练习贯穿于我们日常工作节奏,比如典型的信息安全意识在线培训,定期的培训用于刷新员工们的安全记忆,强化安全敏感度;加之工作区域及桌面安全检查,让员工们时刻保持工作区域和个人计算方面的良好安全习惯。

模拟训练就类似我们的军事演习,我们会模拟各种安全场景,用以挑战学员:如果发生这种情况,您会怎么做?哪些信息对您是最重要的?您如何保护它们……

通过不断地信息安全锻炼,我们能够不断推动组织信息安全文化建设,不断提高员工们的安全实践能力,进而让员工们更好地帮助管理组织面临的网络风险。

对于信息安全管理负责人来讲,可以根据所有练习中的发现调整安全资源,合理分配,以最好地管理网络风险。

多年来我们一直在谈论安全意识培训,直到现在这仍是一个激烈辩论的问题。董志军总结说,网络安全业界主要激辩的焦点是如何衡量安全意识培训的效果,这其实如同在网络安全方面的投入和产出一样,很难精准量化。不过这并不影响业务对信息安全意识教育培训工作重要性的认识,在国家层面,我们发现越来越多的网络安全宣教活动,网络安全宣传周便是其一。同时,大量的世界级组织也在不断进行意识培训,以提高员工们的信息安全水平。

当然,也有一些方法论,比如通过信息安全意识测试、模拟网络钓鱼等等方式,来通过数字的方式衡量员工们的安全意识水平。尽管这些方法论是否科学仍然存有争议,但这些努力仍然是正向的,尝试使用知识测试和模拟钓鱼的方法,至少也是在不断进行信息安全方面的训练。

昆明亭长朗然科技有限公司是国内信息安全意识培训领域的领跑者,通过引进欧美相关产品,到自主设计开发符合国情的信息安全意识宣教内容,一步步走来,服务了大量的知识客户,也积累了大量的实战经验。欢迎联系我们洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

信息安全意识培训计划的五大主题

处在庞大的互联网络系统中,如果不实施有效而可靠的信息安全意识培训计划,任何组织都将无法保护信息的机密性、完整性和可用性。

超过半数的网络安全事件是由于人为错误而造成的,每年由于员工人为因素而带来的灾难导致企业遭受的损失达数亿元。对此,昆明亭长朗然科技有限公司网络安全培训专员董志军说:这不是危言耸听,看看那些诈骗窝点那些年轻人们的豪华生活,就知道情况是多么的严重。需知,科技再进步也只能是工具,人类永远是社会的主体,人工智能再厉害也不能完全理解和替代人们对世界的认知和人与人之间的微妙感情。正是因为这个原因,再先进的安全防范技术也不能彻底防御针对人性的攻击。举例来讲,不知情或粗心大意的工作人员可能会回应网络钓鱼电子邮件的要求,访问感染了恶意软件程序的网页或将其机密信息存储在不安全的存储位置,从而损害网络安全。

为了避免与人员相关的事件的发生,组织必须实施切实可行的信息安全意识培训计划。通常来讲,标准的安全意识计划应包含以下几条主题内容。

一、安全的互联网习惯

几乎所有职员,特别是技术性职工,都可以访问互联网。因此,对公司而言,安全使用互联网至关重要。信息安全意识培训计划应包含安全的互联网浏览习惯,以防止攻击者侵入公司内部网络。以下我们分享一些为员工安全使用互联网的注意事项:

用户们必须了解常见的网络钓鱼攻击,并学会不要打开恶意附件或单击可疑链接。这些能力需要通过深入地了解网络钓鱼攻击的警告信号来实现。最好禁止使用浏览器的弹出窗口,因为它们通常会带来安全风险。用户们应避免安装未知来源的软件程序,特别是感染了恶意软件的网站链接。如今,很多网站声称提供免费的互联网安全程序,实际上这些程序只会感染您的系统而不是对其进行安全保护。

二、数据安全保护

信息数据的类型有很多,例如客户合同、成功案例、产品特性、营销方案、开发计划或工作任务说明等等,许多员工可能不知道这一点。这些员工没有意识到对信息数据进行安全分类的重要性。例如,从财务角度来看,客户合同比成功案例更为重要。从营销角度看,营销方案要比产品特性更为重要。

员工们应了解所有类型的数据,以便他们了解其业务重要性。哪些数据属于高机密级别的,哪些属于内部的,哪些属于可公开的,如何保护这些不同安全级别的信息数据?哪些数据可以或不可以通过哪些渠道进行分享?了解这些数据安全保护的要求,是保障信息安全,防止数据泄露的基础性工作。

三、清洁办公桌政策

信息窃贼可以很容易地获得办公桌上的敏感信息,例如便签、纸张和打印出的文件,当然也还可以通过贼眼轻松偷看到敏感信息。根据清洁办公桌政策的要求,在结束每天的工作之时,应将所有敏感和机密信息从办公桌上移开。在午餐时间或在办公时间紧急离开时,所有关键信息都应锁在办公桌抽屉中或柜子里。

员工们需要理解清洁办公桌政策的要求,并养成良好的桌面清理习惯。除了纸类文件之外,当然也包括重要的信息物件,比如U盘、钱包、手机等。此外,计算机桌面的安全也属于清洁办公桌的一部分,设置带密码保护的屏幕保护程序,在离开办公桌时锁住屏幕。对于清洁办公桌政策,董志军补充说:要保证政策的落地,强化执行力,需定期不定期地进行办公桌安全检查,比如在工作期间、午餐时间或下班时间对员工们的办公桌进行巡检,以发现可能的问题并对进行必要的整改督促和再教育。

四、恶意软件防范

有关恶意软件的培训课程是非常经典的,但是总有新型的恶意软件不断出现和泛滥,这说明仍然有很多人不了解恶意软件的类型及其含义。恶意软件类型应包括广告软件、间谍软件、病毒、特洛伊木马、后门程序、勒索软件、僵尸网络、逻辑炸弹和蠕虫等等。

员工们应学习如何识别恶意软件、如何防范恶意软件并养成好习惯,以及如果设备或网络已被感染了该怎么应对。正确的响应应该是立即关闭系统或设备并通知信息安全响应团队。

五、安全使用社交网络

企业使用社交网络作为强大的工具来宣传品牌并产生在线销售。不幸的是,社交网络也为网络钓鱼攻击打开了闸门,网络钓鱼攻击可能导致公司遭受巨大灾难。不当的社交软件使用造成机密泄露的事件比比皆是。

为了防止关键数据通过社交媒体丢失,企业必须具有可行的社交网络安全使用政策,应限制社交网络的使用并指导员工注意网络钓鱼攻击的威胁和信息泄露的风险。通常来讲,对大多数员工来说,除了转发公司的公开宣传内容之外,不宜使用如微信、微博等社交媒体交流工作相关话题。

总之,员工在保障业务成功中扮演着至关重要的信息安全作用。未经培训和疏忽的员工可能使企业面临多重数据泄露的危险。因此,组织必须采用可行的信息安全意识培训计划,其中应包含阻止网络安全事件发生所需的基本准则。上述的几项常规安全意识培训主题都是昆明亭长朗然科技有限公司的大量客户在信息安全管理实践中探索出来的,希望这些宝贵经验能够帮上您和您所在的工作单位。

昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898