安全意识教育

安全意识培训成为紧要事务

admin

越来越多的信息安全部门被要求采取复杂的任务和承担更多的责任,以合乎适用安全法规的要求并实施行业最佳安全实践。那么,IT安全专业人员们该何去何从呢?昆明亭长朗然科技有限公司网络安全专员董志军表示:面对诸如《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》等,加之细化的条例及行业规范,仅仅只是确保合规的工作量,例如建立及维护工作制度流程,检查和确保在内部的实施情况,存储和保持工作记录,应对内部沟通和外部审计等等,就需要至少两名全职安全专业人员;而各个相关岗位的信息安全工作量也要增加,要不断梳理工作流程,加码对新规的遵循,保留工作记录,这些“纸面”文书工作的重要性和耗时不亚于部署一套控管系统。那么,该如何“化繁为简”呢?解决复杂性的答案在于意识培训。

在信息技术方面,我们为员工提供完成工作任务所需的越来越复杂的计算环境,例如,我们要求系统支持多种语言和多种不同的计算设备,每一种设备都有自己的细微差别。对于网络防御者来说,确保一切都达标、正确配置和架构变得越来越困难,这为攻击者提供了在复杂环境中利用这些差距的机会。

当然,我们有很多不同的方法来解决越来越复杂的网络安全威胁,最常见的方式是使用强大的技术侦测及防范系统,比如入侵检测与防范系统、消息检测及内容过滤系统等等。不过,网络通讯协议越来越趋向端到端加密,这些系统就会暴露出其天然的不足。那么,在网络安全上该怎么弄最为有效呢?培训员工安全意识远比购买最新的安全小玩艺儿或小发明更为有效和省钱。因为训练有素、消息灵通的员工能够更好地帮助组织降低网络风险。

当然,安全培训不仅仅针对安全专业人员,也还针对终端用户。传统上,信息技术团队中的专业人员更需要接受更好的安全培训,但是随着大集中式云计算及分布式移动计算的普及,安全培训更应普及整个组织机构,包括董事会和高级管理人员,他们越来越成为定向钓鱼之类攻击的目标,这种有鱼叉式网络钓鱼针对真正的“大鱼”进行。当然,除了高管之外,所有人员都与网络安全息息相关,所有员工都是信息用户,处于网络前线,无论是在家里还是在办公室,也都是网络犯罪分子攻击或利用的目标。因此,信息安全培训需要量身定制,并且需要对整个员工队伍持续不断地进行。

为什么要必须持续不断地进行安全意识训练呢?在军队中,最好的训练方式是通过攻防演习、模拟测试和实战拉练。在网络环境中,每个组织也应该将其作为日常工作节奏的一部分。日常节奏应该包括定期的网络演练。如果发生这种情况,该怎么应对呢?护网行动,红蓝对抗等等都是不错的行动,通过演练,我们可以知道哪些信息最重要,有哪些漏洞或弱点,该如何保护重要资产?在遭遇非常糟糕的事件时,该做些什么?该如何保持潜在投资者、当前投资者、监管环境等的信心?拥有一种通过实践不断改进的文化可以帮助更好地管理风险,帮助识别自己的优势和劣势。然后,可以根据演练和实战中的发现来调整资源,以便最好地管理网络风险。

多年来,昆明亭长朗然科技有限公司始终专注于信息安全意识培训领域,我们在信息意识培训方面,创作了大量的内容资源,包括平面设计图片、动画视频短片、互动电子课件等等,也为众多知名机构提供了定制化的卓越服务。

演变与创新是目前信息安全意识领域热议的话题之一,如果每年都做的相同的信息安全意识培训,会越来越没有效率。谁都不想一直“吃剩饭”,是吧?来点新鲜的内容或不同的玩法已经成为世界级组织机构正在采纳的作法,大量实践证明,这种持续进行的信息意识培训改进了组织的信息安全文化和员工们的安全行为。当然,也可以进行渗透测试和模拟钓鱼训练,通过游戏化的培训更为有效,通过模拟网络钓鱼并向员工展示网络威胁的所在,可以提高员工的安全知识,并更好地激励他们的风险意识。无疑,持续的安全意识培训可以为网络安全投资带来更好的回报,并促使组织的安全文化向更好的方向发展。

当我们审视网络安全时,通常是人员、流程和技术的结合。首先,从人员的角度来看,应该在整个组织范围内进行安全意识方式和内容的创新,进行模拟钓鱼和实践演习;从流程的角度,强化员工队伍审视工作环境、信息系统及日常作业流程中的隐患和弱点,工作人员更知晓相关流程中的弱点或漏洞,鼓励报告并及时整改能带来很多好处。最后,从技术的角度来看,我们可以看到大量的技术创新正在涌现,例如威胁情报、人工智能、软件定义边界、微分隔、零信任模型等等。人员、流程和技术要有效结合,不能顾此失彼,需要更多管理方面的措施。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有关于信息安全与隐私保护相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

是否需要在企业层面建立信息安全意识月?

admin

搞信息安全意识教育如同内部市场营销活动,各种手段要综合并用才能获得最佳的营销效果。在这些林林总总五花八门的手段中,策划信息安全意识相关的专题活动是一项工作重点。

十月份是美国的互联网安全月Cyber Security Awareness Month,由于美国在全球拥有的强大实力,它的信息安全意识教育做法也纷纷被英联邦国家效仿,接着英国引导欧洲、中东及非洲,澳大利亚带领亚洲和大洋洲,加之英语的普世效应,这一做法大有推广至全球的趋势。

尽管中国的互联网仍然被西方世界广泛认为审查过严,甚至和伊朗、叙利亚之类的国家互联网络相提并论,抛开不同文明体系中的政治文化冲突不谈,解决全球互联网安全问题并不是简单加强内容审查和过滤这么容易。俗话说“解铃还需系铃人”,美国发明了互联网并推动了相关的产业巨变,在造就互联网荣耀的同时,也给带来了大量的网络犯罪,所以我们有理由相信,甚至仍然需要美国来领导解决全球网络安全问题。

不要以为解决信息安全问题可以“中学为体,西学为用”或“师夷长技以制夷”。随着信息技术的引进,信息安全控管理念和措施应该紧紧跟随,否则小可导致个人电脑中毒,中可令组织业务安全受损,大则能使国家安全面临严重威胁。

在信息安全控管措施方面,我国大力发展“自主知识产权”的安全控管体系,加之政策的扶持,大批的安全技术研究专项立项,亦有大量安全软硬件系统设备被制造出来。除了关系国计民生的关键领域是这些信息安全控管措施的消费主力之外,大批的企事业单位是巨大的企业信息安全设备和服务的消费者。

不过,在这片欣欣向荣的信息安全产业发展大局势中,有一样控管措施仿佛被市场忽略了,这项安全控管措施却是非常关键的,它便是信息安全意识Information Security Awareness。不可否认的是各类信息安全控管措施必须在相关安全理念的指导下才能发挥效力,就像人们常说的“理论指导实战”一样。

然而,国内的信息安全市场仿佛并不看好信息安全意识,关键的因素是安全意识教育产品或服务的商品化,安全意识教育相比于硬件设备来说,是无形的,而且即使进行相关工作,也难以立即看到成绩,所以安全意识培训在多数由绩效衡量拉动的组织内部并不是工作的重点。

不过,实际上,多数组织机构都明白大部分的安全事故的最终原因是人员的安全意识不足,所以不少组织都有专门负责对员工进行信息安全意识培训的职位描述,甚至有专门的安全讲师和团队来负责员工安全培训方面的工作,当然也有不少组织机构将这些培训工作进行外包。

国家相关部委早已经下达各类文书,督促和强制下级各单位加强对职员进行安全意识培训。在更广泛的商业领域,多数企业除了会对新入职员工进行简单而必要的安全基础培训之外,往往并没有更多的行动。随着时间的推移安全相关的知识理念会被员工遗忘,而信息安全所面临的各类威胁却不断出现,所以仅仅提供些粗浅的新员工安全培训显然是不足够的。

提供年度的信息安全意识刷新被提上信息安全管理负责人的工作议程,的确,旧有的安全知识在新型安全威胁面前会过期,即使不会过期也可能被遗忘,所以每年针对全体员工进行一次大规模的安全意识检查和修补非常必要。

在大型的组织机构中,想将员工统统组织起来开大会宣讲安全新精神新理念简直不可能,时间和空间的限制不说,成本也会居高不下。如何能选择最为有效的手段呢?建立信息安全意识月是不错的答案。信息安全意识月不是简单的宣布一下安全月的到来就完事了,要多种活动交叉进行,比如发放员工安全手册、张贴安全意识海报、派送安全期刊、放置安全培训展板、发放安全教育漫画、实施安全知识测评、提供安全意识在线学习、发送安全认知短信,搭建信息安全座谈会,开展安全场景模拟攻击演练等等。

根据此前一年的安全事故报告分析情况,突出一两个安全教育主题,搞一些案例和场景的分析,可以帮助降低同类事故的发生概率。更重要的是加强与员工们的互动,激发员工们的参与,会让安全理念更加深入人心,互动式的座谈会、电子学习课程和渗透攻击、在线考试等等不但会给学员们学习的压力,更生动有趣的设计比起单向的内容提供要有效得多。

是否需要在企业层面建立信息安全意识月呢?昆明亭长朗然科技有限公司的信息安全意识顾问告诉您答案是肯定的,不过最终是否设立呢?决定权还是在您的手中,就如同安全在所有员工的心中和手中一样。