笑谈并深思信息安全意识计划

前几天同一位网络安全老同志聊起来,自然要推荐我司的安全意识产品及服务。对方深知安全意识的重要性,可是提到花钱,便连连摇头,称:有家传统的老牌网络安全厂商免费赠送信息安全意识素材给他们,当然前提是要购买该厂家的新型网络威胁防护装备或者安全技术保障服务。

很自然,老牌网络安全厂商根本看不上信息安全意识这项业务,也无心在这上面长期精心专研。当初创作了一些培训宣教内容,可能是受到行业竞争或整体环境的影响的跟风行为。现在看来,这些知识性的内容见效较慢,来钱也不快,特别是在很多国人觉得知识应该免费的观念之下,不容易成为一个新的“赚钱中心”。于是,该厂商转念一想,不如将相关内容素材作为赠品,作为安全技术的补充进行搭售。可能该厂商也有一些不光彩的想法,比如:万一安全技术系统或安全服务失效了,还可以说是客户的安全意识薄弱,因为没有很好地使用他们赠送的安全意识宣教素材。

为什么老牌厂商还会有这种不光彩的想法呢?昆明亭长朗然科技有限公司网络安全研究员董志军说:说起信息安全的成功要素,并非技术管控措施一项,更多的是管理,即流程、人员和技术的综合作用。即使人才济济非常重视技术产品开发的老牌网络安全厂商,也几乎都无一例外遭遇过多起严重的信息安全事故。因此,对于技术措施的不足之处非常明白,也非常想提升信息安全管理水平,好处无需多言:一方面强化内部管理,另一方面尝试对外服务。只是内部的安全极客们往往不服管理,再说制度过于严格容易造成人才流失;对外搞安全管理咨询和服务也不容易,小厂商怎么也赶不上大客户的企业管理水平,因此不好靠忽悠客户来钱。于是老牌的安全厂商干脆集中精力,极力研制及开发更多技术方面的安全控制产品,以期弥补和替代安全管理特别是流程管理和人员管理方面的需求。

这种做法有些有效、有些剑走偏锋、甚至也有些饮鸩止渴,最终造成安全业界越来越重视技术产品,而广大用户特别是社会大众得不到基本的安全知识科普。全社会层面的悬殊的安全认知水平差异,造成了扭曲的网络安全空间世界,也给网络诈骗分子很大的利好机会,当然网络黑客团体更是乐开了怀,他们知道终端用户的弱点明显,而且很多业务流程和管理体系有漏洞,这些弱点或漏洞都很难得到修复,很容易被利用。

最近“护网”运动非常热火,网络安全“攻防比赛”活动也很受欢迎,这对于提升安全界的技术水平非常有帮助。不过,分析多数的攻击成果,我们可以看见:利用社会工程学、网络钓鱼、诈骗邮件等方式的渗透测试占了很大比重,这些基本上可以划为人性的弱点;针对业务系统的攻击,主要集中在网站代码中的逻辑或流程错误,这显然也是软件开发管理的问题,以及开发人员的安全意识不足。很多网络安全厂商本身的产品也被成功渗透,关键还是管理和运维安全问题,例如:要么默认密码一直没有被更改,要么其运作的支撑环境被发现了安全漏洞而没有得到及时的更新。归根结底,网络安全厂商深知纯靠安全技术永远是不够的,然而在行动中,还是不断重复地用一个新的网络安全产品去控管另一项网络安全产品的弱点,从管理的角度看,这个逻辑多么可笑啊!然而从经济的角度来看,这种商业逻辑是再正常不过的了。您可能会问:难道客户智力低下吗?您这显然是外行的问题和不着边际的假想,您可以说他们是懒散的官大爷,但是永远不要低估甲方的聪明才智。

言归正传,保护数据应成为所有组织范围的信息安全意识计划的一部分。安全意识计划的交付方式应适合组织的整体文化,这样才能最大程度地影响人员的安全大脑。用于保持高水平的安全意识应作为一项持续进行的计划进行,要确保不仅要每年度每季度提供知识培训和宣传活动,更需要每月每周甚至每天都有安全意识流入。确保员工意识到数据安全的重要性对于安全意识计划的成功至关重要,并将有助于满足各种法规和标准的要求。

开发正式的安全意识计划的第一步是组建一个安全意识团队。该团队负责安全意识计划的开发、交付和维护。安全意识团队的规模和成员将取决于每个组织的特定需求及其文化,小规模机构内一人牵头各部门领导兼职足亦,大规模复杂的需求需要至少三五人员的专职工作团队加上各部门的领导以及安全意识联络员。

安全意识可以通过多种方式提供,包括课堂形式的培训、基于计算机的培训、基于移动设备的学习、电子邮件沟通、纸质的期刊文章、电子公告通知、海报漫画等。将网络安全意识内容定向到适当的受众,让其阅读并理解对于确保信息安全非常重要。通过多个通信渠道传播安全意识培训,组织可以确保员工以不同的方式多次接触相同的信息。通过将内容材料和沟通渠道定位于相关人员,安全意识团队可以改善对安全意识计划的采用。有效的安全意识计划的一个关键要素在于以及时有效的方式将相关内容材料交付给适当的受众。

基于角色的安全意识为组织提供了参考,以根据人员的工作职能对人员进行适当的培训。为包括管理层和基层员工在内的所有人员建立最低级别的意识基线是安全意识计划的工作起点。在确定基于角色的安全意识计划时,首要任务是根据个人在组织中的工作职能将其分组。通过分配安全意识责任计划,将职责细化到部门和人员,可以很大程度确保该计划的成功。比如:信息安全部门创作或采购适当的知识内容,建立线上学习平台和定期发布微信内容,各部门领导组织内部的课堂式培训,发动部门员工参加线上学习和微信移动学习,并加以考核;信息安全部门印制期刊漫画,各部门安全协调员进行部门内分发和张贴等等。扎实的意识计划将帮助所有人员识别威胁,将安全视为习惯于,并乐于报告潜在的安全问题。

高阶管理团队对安全意识计划的支持对于成功至关重要。部门(中层)管理人员应该:

  • 鼓励下属人员积极参与安全意识学习活动,并在工作中进行实践。
  • 对适当的安全意识流程和做法进行表率,以强化安全意识学习。
  • 将安全意识指标纳入管理和员工绩效评估之中。

如上所述,建议根据角色和组织的文化确定培训内容。安全意识团队可能希望与适当的业务部门进行协调,以对每个角色进行分类,以确定这些特定工​​作职责所需的安全意识培训的水平。这对于内容开发至关重要,以避免员工“过度培训”或“培训不足”。除了一般的安全意识培训以外,建议人员根据其在组织中的角色,触及信息安全的一般概念,以促进整个组织范围内的信息安全。当然,为了确保意识影响行为,安全意识培训还应包括有关违反信息安全政策的后果的详细信息。

此外,管理层不仅应了解信息资产未能得到充分保护可能带来的金钱损失,而且应了解声誉(品牌)损害对组织造成的持久伤害。管理层需要充分了解安全要求,以讨论和加强安全要求,并鼓励人员遵循这些要求。建议对管理安全意识进行在线式的培训以及课堂式的研讨会互动,包括与责任领域相关的特定内容,尤其是可以访问敏感数据的领域。总之,具有安全意识的管理层可以更好地了解组织信息的风险因素。这些知识有助于他们做出与业务运营相关的明智决策。具有安全意识的管理人员还可以协助制定数据安全策略、安全作业流程和安全意识培训。

培训材料应可用于组织的所有领域,例如公司内部网站、微信企业号等等。选择在安全意识培训计划中使用哪些材料高度依赖于组织。每个组织在选择用于安全意识培训的材料时都应考虑其独特的文化因素。

度量标准可以是衡量安全意识计划成功与否的有效工具,并且还可以提供有价值的信息以使安全意识计划保持最新和有效。根据规模,行业和培训类型等因素的不同,用于衡量安全意识计划成功与否的特定指标将针对每个组织而有所不同。通常的做法是通过在线的考核,以及线下的走访和桌面安全检查来实现。

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商,这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务,来为帮助客户成功地发起安全意识宣教活动,进而为工作人员做好安全知识和能力的准备,以便保护组织机构的成功。我们也创作了大量的安全意识内容资源,安全培训负责人员可以从中,选择符合组织机构实情的培训主题。部分叙述性文本(比如单位名称)、音频和图形(比如单位LOGO、整体配色)都可以自定义,以适合组织的需求。我们的课程也会经常更新,以便学员能够及时掌握迅速变化的信息安全形势和挑战,以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们,获得作品预览,洽谈采购及商务合作事宜。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898