安全意识教育

网络安全形势严峻导致投资转向安全意识教育

admin

针对大型网站的黑客攻击令多数注册用户的机密数据如邮件地址和密码等外泄,各类媒体对这些密码泄露事件也大肆渲染,唯恐天下不乱,而各路安全公司也乘势煽风点火,推销安全产品,不过具有讽刺意味的是,不少知名的媒体网站和信息安全公司同样也难逃被黑客攻击带来巨大损失的噩运,一时间,人们谈黑色变,人心惶惶。

同时不可否认的是,安全事故也有其积极正面的意义,灾后重建会拉动社会对安全控管的需求,创造新的商业和就业机会,还能刺激安全科技创新,然而对于多数受灾并不太严重的组织,最重要的还是:人们的安全意识得到了提升,安全觉悟得到了提高,这比什么都重要,人心齐,泰山移,不需要人人都有高深莫测的防黑技艺,只需普及一般的安全常识,便可让大多数黑客知难而退、无功而返。

不过,别以为看看别家遭黑客袭击,在安全方面遇到了灾难事故,自家就可以从中吸取到足够的失败教训,而且,大多数人并不会因为旁观了一把就会将安全意识提升到充足的水平。

最基本的,几乎所有的业务部门的总监经理主管们都知道:安装防病毒软件可以防范恶意代码。然而,知晓防病毒软件必须得到及时更新的并不多见,知晓即使防病毒软件得到了及时更新,却仍有可能不及新型恶意代码的出现速度的则更是凤毛麟角。

昆明亭长朗然公司在2011年进行的一项企业员工安全意识调查结果表明:高达96%的受访者仍然将防病毒软件视为最重要的信息安全保障措施,然而同样是96%的受访者却仅仅只愿意全盘扫描那些被怀疑或确认受到感染的电脑,只有接近2%的员工会在电脑出现异常时检查防病毒软件是否得到了启用和更新。

当然,我们不能渴求用户个个都成为信息安全专家,毕竟多数用户的首要工作职责还是为公司创造产值,并非防范病毒、击退黑客或者保护信息系统和信息数据的安全。但是如果普通信息系统用户连基本的计算机安全常识都不具备的话,在科技变革日新月异的时代,再厉害的安全技术防范措施也会显得苍白无力,甚至无济于事,因为多采用一项创新科技,就会多带来一些安全隐患,在安全威胁日益增多的时代,尤为如此。

再以我们的这项企业员工安全意识调查为例,计算机的病毒防范理念尚如此之不容乐观,其它的计算终端呢?便携式移动计算设备呢?智能手机、平板电脑呢?即时通讯和社交网络应用呢?社会学工程攻击呢?诸如此类的安全防范理念,多数普通用户几乎没有一点儿概念,当然结果就是大量的安全威胁通过利用这些渠道成功入侵了企业的内部网络、渗透了关键的信息系统、窃取了重要的机密数据、影响了业务的正常运作、甚至导致了重大的失败……

诚然,为了保障信息安全,各类型的组织或多或少部署了不少的安全产品或技术流程,如防火墙,入侵侦测与预防、数据丢失防范、访问控制与安全评估等等,这些安全产品或技术流程往往包含多种安全控管措施,可以实现多种控管目标,确实有必要实施一些,然而想靠这些来实现保障组织安全的总体目标显然不够,一方面各类控管措施都是针对各类角色的各种行为,控管措施的实施者、操作者、使用者或受影响者可能并不理解或认同这些控制目标和措施,这可能会严重影响到安全控管的效果,所以,这些不同的角色都需要接受适当的安全培训,最终接受并支持这些控管措施;另一方面,从安全管理角度讲,安全专家们也常说做好安全需要3P,People,Process,Product,即人员、流程和产品,这里面People即人员是最首要的,甚至有极端的安全技术极客们如世界顶级黑客米特尼克等等宣称,当今组织可以不建立标准化的安全流程和制度、不安装指定的防病毒软件产品,只需加强员工基本的信息安全意识。虽然安全技术极客们艺高人大胆,而且基本的安全意识观念中已经包含遵守安全流程和使用防病毒的必要性,但是安全极客们的这番话仍然显示出信息安全意识教育的重要性。

也正是不断曝光的网络安全事故引起人们对信息安全意识的关注,也正是因为信息安全意识越来越受到人们的重视,各类型组织开始不断加强员工的安全意识培训和安全文化教育,甚至有公司还始将信息安全意识培训当成新员工入职的必修课,而且每年都对全体员工进行安全意识再培训,传统上只重视网络信息安全设备和硬件的公司纷纷认识到这并不足够,开始将部分安全投资转向针对全员的信息安全意识。

亭长朗然科技有限公司的资深安全培训讲师Alice称:在发达国家,几乎所有的组织都有将员工的安全意识培训纳入到安全管理工作之中,政府及各类安全组织更是积极推进整个社会的信息安全意识建设水平,知名安全厂商如McAfee和Symantec等等也早都推出针对企业用户的在线安全意识培训课程;而在我国,只有极少数组织会将针对全员的安全意识培训列入日程,在线的即通过电子学习方式进行的信息安全意识培训则更是方兴未艾,虽然是新生事物,但是无疑在线培训有其独特的优势——可以让员工随时随地自由学习,更能快速实施大规模培训,并且及时获得培训的绩效,这种新颖的方式值得大家去尝试,特别是那些尚未进行过课堂现场培训的客户更应一步到位,就好似在当今的非洲大地上,人们不用拉固定电话直接使用移动手机那样,大跨步体验现代科技带来的便利和高效。

security-training

信息安全培训行业呼唤互动式的在线课程

admin

市场需求变化多端,商业模式也在随之变化,产品和服务不断被重新定义,公司要形成独特的竞争优势,疏通价值链,实现战略协同合作是当今的一个趋势。

行业领袖企业往往会占领价值链的核心,掌握和占据行业生态控制的主动权——通过信息系统整合和优化供应链,进而形成行业准入和竞争壁垒。无疑,伴随着商业模式和流程的重组和再制,海量的数据将被不断地催生、交换和处理。即使我们能设计和实施最为高效最为安全的系统,也难免要与价值链中的系统用户互动,难免需要他们参与商业流程的操作,要想到达多方共赢的局面,同时在利益博弈之中处于优势地位,绝不能忽视信息安全,绝不能忽视最终用户在公司数据保护和商业风险控制方面所发挥的重要作用,所以建立公司内外的信息安全意识培训计划势在必行。

而广义上的外部环境也日益强化法律法规的遵从性,上市公司则面临着更多行业监管的要求,计算机犯罪率的上升也让网络信息安全成为公司的必修课,要下采购订单的国际大主顾对数据的安全更是不依不挠,其中都有不少关于信息安全意识培训的篇幅。

无论如何,教育员工及价值链一些关于信息安全的基础都是必须的。信息安全意识培训帮助保护公司的信息资产,如果这些信息资产丢失,结果可能轻则伤及公司形象,重则致使公司巨额亏损甚至破产。

较为规范的大型公司通常都有足够的信息安全意识培训预算,不过仍然有不少公司没有意识到这需要一笔明确的投入,在出现严重人为原因造成的安全事故之后,相关负责人员再被问责,怕是再后悔、翻倍投入也无法挽回巨额损失。

中小型企业通常没有庞大的预算和专职的安全培训人员,如果处于行业价值链中领袖企业的上下游,则可以借鉴领袖企业的做法,甚至共同分享安全意识培训资源。

对多数企业来讲,必要的投入不是问题,只是投入多少而已,当然目标都是解决商业风险和信息安全管理中人员的意识问题,而要达到这些目标,传统上有三种途径:内部培训、外部培训或网络培训。

内训的好处是课程设置更贴身,毕竟内部讲师更了解公司的实际情况,然而不要简单认为寻找内部培训讲师不用向公司外支付费用,成本低而且效果好,非专职的讲师设计课程的资源耗费要远高于专业人员,熟悉内情和知道如何解决问题是两回事。

聘请外部培训公司或讲师,外部讲师多数更加专业,并且见多识广,虽然不是很了解客户内情,至少可以帮助推广普世信息安全真理,另外,如果前期在客户的问题挖掘、需求分析和培训战略等方面的准备充分,则可带来理想的培训效果,只是往往花费不菲,而且培训到受时间空间限制,并不可重复。

依托电脑网络进行培训则是行业趋势,它打破了时空限制,让培训资源可重复利用,进而节省成本。另外,信息安全管理负责人员如能将例行的安全培训工作系统化,其能在公司商业模式和流程创新中的卓越贡献则更是可想而知。

不管哪种培训方式,培训目标中最重要的是让最终用户明白自己在价值链的成功之中所扮演的重要角色,认可和接受自己在保障公司的成功之中所承担的重要职责。

要达到这目标,要分析用户,大部分电脑用户并非IT安全专业人员,安全意识培训应该简单明了,且接近这些日常用户,安全专家喜欢讲些深奥的安全道理,即使没有故弄玄虚,也会让用户望而却步,这种方法并不恰当,真理是朴素的,像对待不懂电脑的亲朋好友一样,告诉他们简单的安全防护道理、知识和技巧,使用这些,在保护公司的同时,也保护了他们自己和家人,他们才乐于接受。

在多数公司的培训和宣传课堂上,通常看到不少员工在打盹,他们根本没有兴趣甚至抵触这些课程,这实际上是在严重浪费时间资源,讲师们通常将这些问题归于学员,当然不能排除个案,实际上多数情况在于这些课程的表现形式过于枯燥和单调,缺乏与学员的互动。

大型的现场安全培训覆盖人群广,但是难得有实质性的互动;小型课堂式培训效果好,可是受训的人数有限;录制一段视频让员工自己在电脑终端播放着学习也缺乏互动,只是不受大型现场安全培训的时空限制……这就是多数公司进行安全培训策划时面临的困难选择。

然而,一切都在变化,互动式的信息安全意识电子学习课程越来越受人喜爱,音频视频、防呆设计、用户参与、小游戏、挑战过关、角色扮演、奖励激励、仿真游戏、测试环节等功能和方式逐渐加入,让学员们耳目一新,让课程不在枯燥,在互动中成长,在实践中锻炼,在测试中学习。

昆明亭长朗然科技有限公司近期出台了一项互动式的网络安全培训课程,看了看免费的公开版,虽然没有让这种枯燥的课题变得栩栩如生,但也变得生动形象,让公司的网络安全制度平易近人,进而让员工知晓网络信息安全的基础理念,采用标准的最佳网络安全实践。

该公司以极低的产品价格帮助重视员工培训的中小企业建立信息安全意识教育课程,也为大型公司提供客户化培训产品的定制设计和开发制作。

有理由相信,这种互动性的课程设计必将成就信息安全意识培训的未来,也必将成为信息安全意识教育的未来。