驱动信息安全意识教育三大力量

infosec-awareness-training

在国内大的背景下,面对家庭和个人用户的计算终端安全都已经免费;而面向企业级的网络信息安全产业似乎只为特定行业而生,大到拿国家项目巨额补贴的信息安全概念股,小到分食信息安全集成项目的独立安全顾问,无一不是在吃党和政府的“政策饭”。

刚性的需求也有,病毒、黑客和商业间谍只是众多安全威胁的一小部分,虽然开源的系统足以满足大量的企业级安全控制需求,但是开源是技术极客和英文高手们的天堂,懒汉和菜鸟们只能仰天长叹。同时,基于开源系统的安全服务概念尚未被成功商品化,多数厂商只能雇佣一批批软件开发人员,勾画出华丽而傻瓜化的中文界面,尽管其核心仍然是开源技术,然而在知识产权的激励机制下,便摇身一变,成为民族的“自主创新技术”。更重要的是,这些软件产品,外加上特别的硬件“盒子”,便很容易变成明码标价的网络信息安全产品。

信息安全培训和意识教育又是整个信息安全产业中的一小部分,当然也不能免俗,不过教育培训多倒是赤裸裸的服务,放在企业培训领域,信息安全培训则更像是沧海一粟。从人力资源的角度看,信息安全培训和意识教育是必不可少的,至少在信息时代,人们有信息资产如信息数据和信息系统需要保护,保护这些信息资产的人们需要有一定的安全能力和资质,显然这需要靠培训来获得。

然而,这些似乎并不是企业层面进行信息安全意识教育的驱动力量,那么驱动力量何在呢?昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点:

法规遵循政策驱动

今天的上市公司不仅会被要求防范黑幕,更被要求进行必要的信息保密和披露措施,显然管理层如果不对员工们实施必要而充分的安全意识培训,在出现类似欺诈交易等恶性事故之后,很容易被监管层狠批在员工安全意识培训上不够称职。

而特定的行业则面临监控机构更多的安全规定,其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容,只是一小部分,但是仍然需要安全意识培训方面的计划以及培训的日志记录。

应对法规遵循政策驱动力的安全意识培训应该如何进行呢?亭长朗然的安全讲师Alice Wong说:尽管在针对全体员工的安全培训上只有粗略要求,并没有详细的操作指引或细则,信息安全负责人仍然需要注意两点:一是找出组织机构需要遵循的安全法规,比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循,需要对不同角色人员进行的不同培训。

客户信任业务驱动

大众对个人信息失窃的事件成为安全头条新闻已经变得心寒,并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任,甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易,首先从内部抓起,要加强对员工进行安全和隐私保护教育,防止内鬼为了蝇头小利铤而走险,同时也要教育客户,展示公司的在数据的安全保护方面的作为遵循了法律法规的要求,让客户有足够的信心。

保障业务安全驱动

前两者是外在的驱动力量,而保障业务信息安全,无疑是内在力量,发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说,基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全,然而大部分的信息数据却存在于员工们的头脑之中,而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用,所以为保障业务的成功,无疑需要加强对员工们进行信息安全意识方面的教育。

是否有其它方面的驱动力量呢?当然有,比如提升企业的信誉,彰显管理层的作为、构建学习型组织等等,但是这些并非核心要素。驱动信息安全意识教育三大力量,才是安全意识培训负责人所背负的“三座大山”,昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量,帮助安全培训负责人化被动为主动,最终轻松推翻“三座大山”。

大中型企业越来越重视信息安全

最近的一项针对信息技术和软件开发人员的调查显示许多公司并没有将应用程序的安全问题放在重要位置。尽管基于常见Web应用的攻击手段如SQL注入,跨站脚本,远程溢出等等早已令网站开发人员头痛不已,近半数(48%)的开发人员表示在过去两年内遭受过黑客攻击或入侵行为,但是有高达74%的受访软件开发人员表示仍然理不清头绪,不知道黑客是如何攻击成功的,也没有足够的信心对付未来的黑客攻击。

不过,好的消息是61%的受访公司表示将增加信息安全方面的预算,特别是65%表示准备加强在应用程序安全方面的投入。

“同全球大型跨国软件公司相比,中国本土化的软件开发公司规模都不算大,往往也只关注在中国本土市场和应用层面,软件开发人员的底层基础理论不扎实,安全知识和技能普遍相对落后,但是在无边界的互联网上,却面临同样级别的安全威胁,这种不平衡的现状越来越影响着中国信息化的进程,并且严重伤害着各家企业在网络上开展的业务。”昆明亭长朗然科技有限公司的企业信息安全市场分析人员James Dong称。

虽然软件开发人员的安全技能缺乏是最重要方面,更深层次的问题是最终用户对安全的无知或漠视,在客户不提出详细安全需求的情况下,开发人员是不会主动为客户的软件增加安全控管功能,直到出现严重的安全问题后才开始进行安全功能的修复。要改变这种现状,只能从加强最终用户的安全意识教育开始,同时加强软件开发人员的安全理论知识和技能培训。

最近电商携程信用卡门让业界对携程旅行网搜集和存储过多客户信用卡信息如CVV等充满质疑和批评,在一开始,携程称其加密保存CVV符合了金融监管及全球行业标准,但最后不得放弃这种错误的认识,承诺立即改正并不再保存CVV。

携程信用卡事件曝光除了在时间点的选择上触动了敏感的互联网金融行业,更有意思的是在竞争领域里的宣传战,携程的铺天盖地的公关响应自不用说,艺龙、去哪儿纷纷乘机或明或暗地利用携程在保护客户信息安全的薄弱之处大作文章。

可以说,官方媒体以及社交媒体的强大攻势让几大信息安全需求驱动力——法规遵循、客户权益、商业竞争、品牌信誉、赢利压力等到了充分的展现,这次携程信用卡门让大中型企业特别是在线电子商务公司充分认识到信息安全工作的重要性,特别是员工们信息安全基础培训的必要性。

关于携程“技术互联网”忽略流程及管理而造成安全事件一说,国内数家著名的大型软件开发公司、IT集成及服务公司也都表示传统上借助计算机网络安全相关的技术措施来保障客户的信息系统和信息数据安全的方法并不充分,信息安全目前面临更多的是解决“人员”安全的问题。特别是软件外包及业务流程外包公司已经准备让全体员工参加基础的安全意识培训,并且对软件市场销售、开发测试和技术支持人员强化关于应用程序安全的专门培训,以便能更好同客户沟通安全的理念、为客户提供更安全可靠的信息系统和让客户更加放心。

通过在线预览了昆明亭长朗然科技有限公司提供的电子培训课程之后,几家公司纷纷称这是很创新的一种学习模式,可以将国际上最领先的信息安全理念和技能在第一时间带到中国,也很方便用户随时随地主动学习。“为国际支付认证我们3个月闯了200多道关卡。”去哪儿网CTO吴永强说,“此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。”此话真是一针见血地指出员工信息安全意识培训的强烈必要性。

同时,调查也显示大型企业也开始设置专门的网络信息安全管理和技术岗位,信息安全对商业成功的重要性越来越凸显,当然信息安全会越来越受到重视。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898