业务成功与信息安全意识

不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之;学至于行之而止矣。——荀子

信息安全不是独立于业务目标的“学术孤岛”,谈到对组织成功的重要性,虽然信息安全不如加强产品研发和拓展新兴市场那么“经世致用”,但是也绝对不可或缺,在特殊的行业和关键的领域,甚至是决定成败的核心竞争力。

在这些特殊的行业和关键的领域里,信息安全不仅表现为业务成功的“保障”角色,更是取得持续胜利的“推进器”,甚至是创新战略的“使能者”。不过,每家公司都有自身独特的愿景、使命、目标和战略,公司治理成为保障成功的关键,信息安全的源头便源自于此。当然,信息安全在不同公司中的地位和价值可以从此窥见一斑,然而,担负公司治理重任的高管们可能并不是那么的“学究”,他们对信息安全与商业成功之间的必然关联和重要性认识可能并不足够,这就需要专业的信息安全专业人员来提供智囊支持。

尽管多数公司并没有明确的信息安全组织架构和信息安全总监职位,但是多少都有相关的团队和人员来担当必要的职责,只是有可能没有做那么清晰的部门设置和职位定义,这主要和高层领导的认知及意愿有关。

信息安全管理亦是采用至上而下的方法,如果公司高层领导对信息安全的认知不够,例如只认为信息安全是防范电脑病毒,让网络不受ARP攻击而罢工,那就很难指望公司的信息安全管理体系能够充分保障业务数据的安全。所以说,领导层首先要树立正确的信息安全观念,并且做好示范表率作用,这里面包含建立健全信息安全相关方针政策和工作流程,以及在公司范围内实施安全教育、培训和意识提升计划。

建立安全方针政策、规章制度和工作流程实际上并不像人们常讲的“拷贝些模板”的事儿,除非只是想做一些纸面的工作而不想让这些落到实处。设立安全方针政策和规章制度是为了确保员工们在工作中应用正确的信息安全理念,所以它们之间是紧密联系的。要结合工作实际情况制定规章制度和工作流程,就需要让中层领导仒和一线的员工充分参与,这当然少不了信息安全相关的沟通和协调工作。而要进行有效的信息安全沟通和协调,最重要的是进行信息安全意识相关的教育培训。

不仅仅诸如信息安全管理委员会之类的安全团队内部需要进行沟通和协调,与最终用户如全体员工及相关外来人员之间也需要沟通协调,就比如一个与访客接待相关的安全流程,就需要得到多方的理解和支持才能有效运作。

信息安全意识教育培训并非宣读一番相关的安全制度和流程,我们不仅需要让最终用户“理解”信息安全,更要让他们“认同”信息安全,要向最终用户展示正确的安全理念和行为,可以利用模拟的场景,可以分析实际的案例。

当最终用户充分“理解”了信息安全之后,便需要他们付诸实际行动来证明他们“认同”正确的信息安全理念,这就达到了我们的最终目标——获得最终用户的安全行为,通过适当的安全工作流程来保障信息安全方针政策的落实实施。

让最终用户“理解”信息安全不难,让最终用户“认同”信息安全不易,昆明亭长朗然科技有限公司的信息安全意识培训顾问Alice Wong说:想取得“知行合一”的良效,除了采用高质量的饱含模拟场景和真实案例的信息安全意识教程之外,也不能忽视安全行为激励机制。人性多是趋利避害的,Alice建议公司拿出少量信息安全资源当作激励员工们正确安全行为的“安全奖金”,同时对容易造成安全事故的不当行为进行适当处罚,并且不断地通过教育培训来刷新人们的安全认知。日积月累,信息安全意识便深入脑海,安全的行为便逐渐形成。

security-awareness-and-behavior

让信息安全成为商业的核心竞争力

传统上,人们会认为重视信息安全的必定是那些信息化程度较高的组织机构,因为这些机构可能会面临较多来自互联网的安全威胁。诚然,网上银行对信息安全的要求肯定要比一个静态的公司宣传网站需要更多的安全保障措施。

从全球趋势看,近几年安全攻击的来源开始转变,内部已经不再是信息安全事故的最大来源,黑客主义、商业间谍、有组织的网络犯罪和恐怖活动不断加速,让大型的跨国公司开始将安全战略从内部管理转身对外防范。

与此同时,昆明亭长朗然科技有限公司的安全分析员Bob Xue说:多项大型调查报告表明近半数的受访者认为来自内部的安全威胁仍然不容忽视,特别是无知的员工可能被外部威胁利用,进而对信息安全造成“内外夹击”之势。

同时,随着产业链的升级,雇佣商业间谍,恶意挖角等不当商业竞争手段从高科技公司向更广泛的行业演进,多年前中兴通讯与华为之间的人才争夺战、金蝶与用友之间信息窃密战已经在三一重工和中联重科之间重演。

只有充分的商业竞争才有利于行业的发展,但是忽视技术创新和质量改进,纯粹打价格战和口水战无疑于事无补而且将毁坏整个行业。要保障长久的核心竞争力,需要加大研发,研发需要投入,研发成果更需要得到适当的保护,尤其是前沿的机密技术和知识产权。

而恶劣的市场玩家在研发上投入甚少却想不劳而获,便雇佣黑客前云偷窃人家苦心经营出来的研究成果,或甚至用金钱收买核心技术研发成员,这些手段太卑鄙,但在表面上却表现的很“文明”,或通过商业调查机构,或通过媒体,或通过合伙伙伴,甚至客户,人资猎头等等。想一眼识别出来这些披着羊皮的狼的恶劣行径并不容易,更何况员工们可能并没有充分的是非分辨能力。

无疑要解决这些让人忧心重重的问题,需从信息安全管理抓起,让信息安全成为核心商业竞争力的有力保障。

实际上,加强信息安全,并非仅仅有利于保护知识产权机密信息,将信息安全战略同商业战略保持一致,更能促进业务的成功。有效的信息安全不仅有够保护整个业务,更能保障利润并且可以省出更多资源来创造新的业务增长机会。同时,新的科技不断加强与客户及供应链之间的互动,数据安全要求是益增高,隐私保护成为关键问题。此外,对于大型公司来讲,良好的公司治理、合规经营和信息披露可以给投资者带来巨大的信心。

然而搞信息安全并不容易,不是堆砌一批高端的网络信息安全产品来保护服务器和个人电脑,而是要找出商业所面临的真正的安全威胁,找出需要保护的高价值数据信息以及承载这些信息的商业流程和应用系统,然后平衡信息安全投入,将钱花在关键的地方。

亭长朗然Bob说:公司需要建立健全一套信息安全框架,国家在关键的战略领域如能源、通讯、金融、交通等等已经实施了信息安全方面的管理规范,相信在这些监管压力以及众多资源投放之下,信息安全框架会得到逐步健全。而大部分的非核心战略领域,却也是竞争最为惨烈的领域,尽管外部压力较小,仍然需要从内部开始加强信息安全知识和理念的学习,进而才能武装起来,让信息安全成为商业的核心竞争力。

security-promote-business-success