安全意识教育的商业价值

安全意识对您的组织重要吗?昆明亭长朗然科技有限公司的一项开放式在线调查结果表明:少量用户20%认为安全意识“不重要”,和认为“非常重要”的19%几乎持平,而多达61%的受访者对此表示并“不关心”。这项公开的调查并不是一项性格测试,所以没必要对受访者进行严格的分类。总体来讲,安全意识对于受访者们来讲是“可有可无”,并非那么紧要的事务。

不少安全从业人员向我们抱怨称公司领导对信息安全的重视度不够,认为只要不发生影响电脑正常使用的恶意病毒事件就万事大吉,但是却重视员工的安全意识培训。安全专业人员对简单的信息安全意识受到高层“过度”的重视表示不理解,的确我们不能否认要搞好企业安全建设,专业人员所拥有的特别安全知识和技能是必需的。

安全专业人员的抱怨并非没有道理,但是也并不全怪领导“不重视”信息安全工作,毕竟领导们多不是信息安全专业出生,他们更不是这个领域的专家。领导们往往站在业务全局或所属部门的角度来审视信息安全,尽管他们对信息安全的认知可能并不足够,但是他们无疑更理解业务或部门对信息安全的需求。

安全专业人员也并非全都是业务方面的“门外汉”,基本的业务流程现多被信息化所驱动,信息安全专员多少都懂些信息系统基础,稍加努力了解一些业务架构和关键的流程,以及对IT安全方面的依赖,便可轻易成为又懂安全又懂业务的职场精英。昆明亭长朗然科技有限公司的安全顾问Alice Wong称:除非安全专家想往业务方面发展,否则多数情况是安全专家只想获得对他们的专业技能的认可和尊重。解决方案很简单——领导们在进行新业务或项目的调查分析之时,或在制定相关决策之前,向安全专家们咨询顾问一下。

安全专家们愿意为公司的成功更多付出专业方面的正能量,但是信息安全专家们显然不愿意也不会为员工终端层面的安全问题负责,他们会认为那些太小儿科,但是问题在于普通员工往往有更关键的工作——创造更多的商业价值,而不是成为安全方面的高手。矛盾出现了,安全专家们纠结了,身处管理层要负责的“领导们”必须得有所作为,他们要成为安全专家与终端员工甚至最终用户之间的沟通桥梁,他们需要让终端员工们掌握基本的必需的安全知识和技能。

信息安全专家,不管是技术方面的还是管理方面的,现在都应该认识到真正的问题和挑战,要为领导们所认可和接受,必须改变以往的傲慢立场,深入一线了解和评估基层员工们的安全认知水平,制定和实施必要的安全意识培训战略和计划……

而业务主管及高层的领导们则应该考虑到专家们所受到的限制,给予所需的必要的支持,让员工安全意识培训计划能够顺利地在整个公司或部门范围内得以顺利落实。

信息安全年会关注的焦点是信息安全意识

最近,昆明亭长朗然科技有限公司的一家客户针对全体员工进行了一项年度信息安全意识调查,调查结果令人震惊,几乎没有员工明白安全漏洞和安全威胁的区别,在怀疑或遭遇安全事故时如何正确响应也很不令人乐观。

如果说漏洞、威胁和风险属于专业术语,部分安全从业人员甚至都搞不明白的话,我们更应该原谅这些员工。如果员工在遭遇可疑安全事件时不知如何报告或向谁报告,那显然是安全应急响应体系和流程的缺乏或不足,至少在安全事件报告方面,暴露出安全管理人员未对最终用户进行适当的沟通和培训。

安全管理人员可能会说没有足够的资质来建立安全应急响应体系,拜托,再小的企业也会有突发安全事件吧?何况大些的公司还有专门的安全管理职位和队伍呢!安全应急响应的投入可大可小,但找两个轮流值班的、接电话和查收邮件的保安总可以吧?

为什么要安全应急响应呢?想想如果员工发现工作区域有鬼祟的陌生面孔,立即报告给公司安全部,安全应急响应服务台立即派保安前去盘问和检查好呢?还是员工不当一回事,公司财物丢失了也无人知晓的好呢?

公司的多数安全预算用于购置各类安全设施、安防设备和安全服务,网络信息安全领域也是如此,资源多数花在安全系统和外包安全服务上,而比较忽略内部的安全管理体系如安全流程建设。

提到网络信息安全,人们谈论最多的是病毒和网络黑客,比较少关注信息安全意识。亭长朗然公司的安全顾问James Dong说:就连防病毒和防黑客都不能离开用户的安全意识,更不要说防范内部不满员工和商业间谍等等这些威胁。

针对信息基础架构系统的电子攻击近年来引发政府的关注,水电能源、卫星通讯、交通导航、银行金融等系统在安全等级保护框架下有了较大的改善。甚至在国家层面已经开始关注和谈论互联网战争和网络恐怖活动,这都彰显出国家在信息安全方面已经牢牢掌握主导权。

不能忽视的是在信息安全方面,也同样存在国进民退和国强民弱之说,在国家牢牢控制互联网安全核心架构体系之时,关于信息安全的立法、司法和监管日益成熟。而老百姓的互联网安全能力提升明显偏慢,显然与全球发达国家国民的安全素质差距甚远,甚至有网络观察员称中国的互联网是一小拨网络暴徒绑架着大量无知的普通网民,这和互联网大国的地位很不匹配,而且这样下去无疑将严重影响信息社会的健康发展。

回到亭长朗然公司的这家客户,在分析调查报告结果之后,安全管理团队进行了适当的检讨,认为有必要改进安全应急响应体系,并且加强对全体员工进行信息安全意识教育,特别是强化安全事件的报告。公司安全管理团队为此专门举办了为期一周的信息安全年会,年会后对员工进行随机抽样调查和社会攻击学攻击渗透测试,结果证明:通过培训,被调查员工了解到哪些是信息安全事件,该向谁报告安全事件。有趣的是,针对同一名员工的两次社交工程渗透攻击都被识破并及时报告给了安全服务台,两次的不同是这名员工第一次交谈时显得很腼腆,满脸通红;第二次已经显得很“理直气壮”。

员工的安全意识得到了质的提升,这正是信息安全年会的目标。短短两周的时间,这家公司的信息安全部门已经通过员工的及时报告,快速响应,挽回了一起可能造成重大损失的信息安全悲剧,这起真实的事件得以成功处理,不得不感谢信息安全年会的举办和信息安全事故场景的模拟演练。