保障信息安全要依常识行事

近来两三起高学历博士夫妻不知人类如何延续后代的新闻引起了社会大众的深思:常识,其实远不是人们想当然中的那么普及。在信息安全领域也是如此,很多组织机构在出现重大安全事故之后才会重视信息安全,而缺乏足够的安全基础知识,让这些组织机构的安全负责人和高层领导被忽悠,更让匆匆制定的安全解决方案成了头痛医头、脚痛医脚、治标不治本的止痛药。

也别指望找个三五家安全厂商,让他们跳上舞台表演安全解决方案秀,就能从中学习和掌握核心的安全管理知识体系。安全厂商面临着生存和发展的压力,安全问题的解决方案本身不赚钱,赚钱的还都是些方案中使用的商业产品或服务,就凭这点儿,企图想从安全厂家那里得到正确的和适当的安全解决方案无疑是黄梁一梦。

那我们的安全问题如何才能得到解决呢?世间任何事都有前因后果,出现安全事故当然原因不是所谓的风水不好、运气不佳,而是整个安全管理体系的不足。让我们跳开具体的安全事故,或许造成严重后果的最直接的诱因只是随机的一个小事件、粗心大意或恶作剧,然而不能将这最直接的诱因看在成孤立的部分或必要的条件。

水滴石穿非一日之功,冰冻三尺非一日之寒!严重安全事故的发生必定和多方面的整体的环境因素有关,通常我们能看到的造成严重安全事故的最“直接”的诱因只是撞上临界点的“倒霉鬼”,更是巨大冰山露出海面的一小部分。比对于安全解决方案,我们能够说削平这冰山的小山头就完事了吗?

安全意外事故的发生不能完全避免,所以,当有严重安全事故发生时,不要有病入膏肓的世界末日之悲叹,但是也不能掉以轻心,更不能在受到上司的高压之下变得六神无主,失去自我。

尽管信息安全咨询顾问服务现在逐渐升温,但是在信息安全的迷惘时期千万不要急于找外援,因为迷惘或心情不佳的时候很容易被蒙骗或犯下巨大的错误,当我们越是急切地想解决问题的时候,越是容易出错,不是吗?

正确的方法如何呢?通常在安全管理负责人会将安全事故控制在一定范围内,这是通过一定的应急事件响应流程实现的,即使这流程并没有黑纸白字写下来。将安全事故所能造成的影响控制到最低之后,便需要好好反省,不要急于找出“根本原因”,因为拔出萝卜带出泥,“根本原因”往往都是安全管理的不到位,但是在技术层而又需要有台阶可下。

在技术层面要找出合适的“根本原因”的指导宗旨是更多安全资源的获得,但这里所讲的“安全资源”绝不能仅限于技术类的安全控管措施,比如安全产品和技术等等,更多应该放在安全流程措施和安全人力资源。

管理层谈资源管理,技术专家往往会不屑一顾,认为是在搞华而不实的政治斗争,要落实下去还得靠技术控管手段,实际上这是一种浪漫主义的想法,因为技术控管手段的实施最终依赖的是人,受影响的也是人,而多数人并非像安全技术专家那样能够理解和接受这些技术控管手段,忽视“人员”的安全技术系统实施是不会取得成功效果的。

问题何在?安全技术方面的专家往往像高学历博士夫妻一样,研究安全问题比较深入,也可以说很精专,但是不够全面和系统,而信息安全却是一件系统工程,需要安全技术专家来攻坚,但更需要管理方面的人才来整合及领导安全的系统化运作。

所以,不要理睬那些“输入一条指令就可永久解决”,“装台防火墙就能防止类似事件再次发生”或“应该安装数据防泄露系统”等等之类的肤浅说辞,也不要被大概念如安全运营中心SOC之类的玩艺儿冲晕了头。

保障信息安全,要依常识行事,而且必须依常识行事,这里的常识是指国际通行的信息安全管理体系标准。

事实上,即使在安全行业里,仍然没有多少人懂得标准,尽管他们都会说出这些标准的名字,就如同多数不打篮球的人们谈到NBA,都会提及林书豪的名字一样。

注意,在安全认知上没有修炼到一定的程度,是看不懂信息安全管理体系标准的,也没有什么兴趣,这点不难理解,可以找精通这些的专业人士进入信息安全管理层。问题是千万不要摆出“中国特色”或“我家特点”的一幅自大姿态,来批判信息安全管理体系标准,因为这些批判显然是自身无知、而又不愿意承认才造成的一种消极抵抗。这种消极抵抗很可怕,他们拒绝信息安全常识,而且到处传递负能量,想让真正有需要的人得不到常识的洗礼。

常识需要得到普及,考虑到安全管理层往往并没有多少富余时间,昆明亭长朗然科技有限公司特别引进了全球通用的安全常识——信息安全管理体系实施指南,并进行了必要的本地化工作,最终酿制成一部三小时左右的在线教学视频——《九章信安》。

然而,常识并不应该独享,我们建议安全管理负责人员同安全技术专员们沟通,拉动安全团队中的所有从业人员一起接受普世的安全常识和理念,唯有如此,安全团队内部方能顺利地就安全问题和解决方案达成一致,方能用正确和适当的方式来保障信息安全。

信息安全知识重要还是技能重要?

在过去十年里,网络信息安全产业得到蓬勃发展,我们看到整个行业已经成熟到被广泛接受的地步,即将安全的心态和习惯融入组织的文化中。尽管如此,我们仍然看到太多的安全领导者陷入“该做什么”以及“怎么做”的陷阱。

为了探寻信息安全管理之道,笔者从乙方换到乙方,再从乙方换到甲方,又从甲方换到甲方,旋而再从甲方换到乙方,经过一番职场“挪腾”,终于自己创立了专注于安全意识和行为改变的小事业,我可以向您保证这个行业没有什么深不可测的传奇人物,更没有振聋发聩的传奇理论,以及无比厉害的科技装备。

都是在国家登记注册的企业,都是在党领导和管治下的机构,都是爹妈生下的血肉之身,企业与企业之间,人与人之间的差别其实并不大。人们对安全“该做什么”以及“怎么做”的误解和纷争,终究逃不出所在的人脉圈子,以及所在企业和职位带来的认知限制,当然出于对自身利益的诠释与包装,不少“明白人”会故意对安全“真理”进行一定的扭曲。

对大多数甲方客户来讲,当面临乙方设备厂商与咨询服务商时,最典型的一项争议便是采购安全设备重要,还是加强安全制度管理重要?当甲方客户说要坚持对员工进行安全意识培训时,乙方不满意了,他们极力掩饰着内心的着急,表面上表示出不屑:安全的最高境界是透明的好像不存在,因此还是不要打扰用户的好,再说培训用户那事儿没点技术含量,没什么价值。这时候,甲方客户可不傻,当然尽管其对于安全培训的“技术含量”与“价值”的看法有差异,往往也不会失去基本的社交礼仪,毫不留情地给乙方厂商怼回去,而是委婉地推脱或谢绝。乙方厂商一看对方不感冒,暗暗后悔自己失言或太冒进了,不过,事已至此,也只能礼貌地遗憾地离场。

千万不要以为事情就此告一段落了,乙方厂商人员不愿甲方客户的这个培训需求“肥水流了外人田”,便找来自己以往的兄弟乙方培训服务人员,与之私下分享了这道好菜。乙方安全培训服务人员登门拜访甲方客户了,在简单寒暄之后,切入正题:是要培训安全知识,还是安全技能?一句话点中了甲方客户的要害,争议又出现了,不过这次争议不是在乙方,而在甲方内部。甲方内部的技术派,当然觉得安全技术至上,除了强化安全从业人员的技能之外,还应强化最终用户的技术能力,以应对各种如病毒和黑客等安全威胁;而甲方的管理派,往往并不是技术极客,觉得技术很重要,但更重要的是要让最终用户理解安全基本知识,进而遵守安全管理要求。

先让我们放下争执,安全意识培训是所有安全计划的必要组成部分,通常也是安全计划中最薄弱的环节之一,因为安全教育往往很难坚持进行,造成这种情况的原因有很多。比如培训计划不够充分,没有明确定义教育框架,或者开展的次数太少。无论原因是什么,安全意识失败都会导致网络信息安全漏洞。难怪首席安全官(CSO)、信息安全官(CISO)和其他IT决策者们都在积极寻找更有效的安全意识计划。

问题的根源可能不在于安全意识培训计划,而是您的员工不了解他们正在使用的业务信息所面临的安全威胁。我们都希望能够使用技术来解决安全问题,来节省人力和提升效率。对某些人如网络黑客来说,这简直是真理。他们喜欢深入研究各种软件和硬件,以使他们更容易识别出什么时候工作不正常或漏洞可能存在于何地。这种技术人员经常在IT或安全部门中不难找到。

但对于大多数企业来说,我们与科技的互动并不会超出实际的用途。没有那么多无聊的人去折腾各类信息系统,去发掘漏洞赢得赏金。不过,也有一些令人惊讶的可笑的事情,就是有不少用户竟然认为云计算“实际上是在天空中”、大数据就是一个接近无穷大的的数字、黑客和网络犯罪只存在于影视作品之中。这让网络安全与信息化领导们颇为惊讶。随着数字化转型的出现,强调业务技术意识以及安全意识培训变得更加重要和紧迫。随着物联网(IoT)在工作场所无处不在,人们必须了解它们如何既能使组织受益又增加网络和数据的风险。

显然,在科技如物联网技术进步的过程中,用户对物联网的认识严重不足,它是什么,它在网络上的位置,以及它所连接的一切。如果您的员工无法识别该基本信息,您必然会遭到基于物联网的网络攻击。我们要做的,不仅仅是上系统,上安全,更需要对用户进行科技与安全的知识科普。

安全意识培训应该教会员工如何识别潜在的威胁,防止或减轻网络事件。但是,如果您不了解您所保护的技术,则很难将安全培训付诸行动。这导致网络安全最佳实践漏洞,可能导致数据泄露、勒索软件攻击甚至共享特权访问信息。换句话说,如果您的用户不知道他们正在保护什么,那么保持安全是非常困难的。

当然了解技术的好处也会超越了安全性。当员工熟悉他们使用的技术时,他们的生产力和效率会提高。他们的求助呼声会下降,因为他们更擅长使用软件和硬件,不仅可以解决问题,还可以找出新的捷径。

在安全意识培训中添加业务技术意识培训将一举多得。员工将了解他们每天使用的业务工具以及网络安全行为如何影响技术的生产。当他们看到技术和安全性如何协同工作时,组织内的整体网络安全工作将得到改进,安全培训也将更具洞察力。

只要有人的地方就有江湖,就有网络安全威胁,不要以为使用人工智能安全技术就可以解决人类江湖中的纷争,原因在于“道高一尺、魔高一丈”,安全威胁永远在进化,人工智能永远处于研究学习的落后状态。

再有,所有新科技最终是要人来使用的,因此,不应该在安全意识培训活动中忽视掉技术部分,也不能假设所有员工都拥有相同的知识库。首席安全官、信息安全官和IT决策者应为组织内的每位员工制定基准,以了解他们知道什么以及他们需要知道什么。这可以直接纳入每个安全培训模块,问题与特定技术直接相关,也可以是根据他们的工作岗位、他们使用的科技工具以及每个员工如何使用它们的方式为特定部门设计简单调查问卷。

传统上安全教育一方面侧重于针对专业人员的技能教育,以及针对非专业人员的意识培训和行为指导。但是,如果用户不能真正了解应用程序或硬件的运行方式,就无法知道他们的行为是否会增加风险。让用户知晓关于云计算、大数据是什么以及它的安全性如何受到影响的基本知识,以及物联网有哪些设备以及物联网成为安全问题的原因,可以大大提高员工的安全意识和技术娴熟度。

所以,信息安全知识重要还是技能重要呢?它们是不能分家的,安全专业技术人员需要了解必要的管理和意识知识,而用户除了基本的安全常识之外,也还要掌握基础的技术能力,不仅是为了防止闹笑话,更是为了提升工作绩效与安全防范能力。

昆明亭长朗然科技有限公司帮助各类型的客户提升员工的安全素养,包括对员工进行安全知识和技能培训,我们的方法是创作量身定制的培训内容,以及使用领先的在线培训系统。欢迎有兴趣了解更多详情的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898