在国内大的背景下,面对家庭和个人用户的计算终端安全都已经免费;而面向企业级的网络信息安全产业似乎只为特定行业而生,大到拿国家项目巨额补贴的信息安全概念股,小到分食信息安全集成项目的独立安全顾问,无一不是在吃党和政府的“政策饭”。
刚性的需求也有,病毒、黑客和商业间谍只是众多安全威胁的一小部分,虽然开源的系统足以满足大量的企业级安全控制需求,但是开源是技术极客和英文高手们的天堂,懒汉和菜鸟们只能仰天长叹。同时,基于开源系统的安全服务概念尚未被成功商品化,多数厂商只能雇佣一批批软件开发人员,勾画出华丽而傻瓜化的中文界面,尽管其核心仍然是开源技术,然而在知识产权的激励机制下,便摇身一变,成为民族的“自主创新技术”。更重要的是,这些软件产品,外加上特别的硬件“盒子”,便很容易变成明码标价的网络信息安全产品。
信息安全培训和意识教育又是整个信息安全产业中的一小部分,当然也不能免俗,不过教育培训多倒是赤裸裸的服务,放在企业培训领域,信息安全培训则更像是沧海一粟。从人力资源的角度看,信息安全培训和意识教育是必不可少的,至少在信息时代,人们有信息资产如信息数据和信息系统需要保护,保护这些信息资产的人们需要有一定的安全能力和资质,显然这需要靠培训来获得。
然而,这些似乎并不是企业层面进行信息安全意识教育的驱动力量,那么驱动力量何在呢?昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点:
法规遵循政策驱动
今天的上市公司不仅会被要求防范黑幕,更被要求进行必要的信息保密和披露措施,显然管理层如果不对员工们实施必要而充分的安全意识培训,在出现类似欺诈交易等恶性事故之后,很容易被监管层狠批在员工安全意识培训上不够称职。
而特定的行业则面临监控机构更多的安全规定,其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容,只是一小部分,但是仍然需要安全意识培训方面的计划以及培训的日志记录。
应对法规遵循政策驱动力的安全意识培训应该如何进行呢?亭长朗然的安全讲师Alice Wong说:尽管在针对全体员工的安全培训上只有粗略要求,并没有详细的操作指引或细则,信息安全负责人仍然需要注意两点:一是找出组织机构需要遵循的安全法规,比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循,需要对不同角色人员进行的不同培训。
客户信任业务驱动
大众对个人信息失窃的事件成为安全头条新闻已经变得心寒,并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任,甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易,首先从内部抓起,要加强对员工进行安全和隐私保护教育,防止内鬼为了蝇头小利铤而走险,同时也要教育客户,展示公司的在数据的安全保护方面的作为遵循了法律法规的要求,让客户有足够的信心。
保障业务安全驱动
前两者是外在的驱动力量,而保障业务信息安全,无疑是内在力量,发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说,基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全,然而大部分的信息数据却存在于员工们的头脑之中,而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用,所以为保障业务的成功,无疑需要加强对员工们进行信息安全意识方面的教育。
是否有其它方面的驱动力量呢?当然有,比如提升企业的信誉,彰显管理层的作为、构建学习型组织等等,但是这些并非核心要素。驱动信息安全意识教育三大力量,才是安全意识培训负责人所背负的“三座大山”,昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量,帮助安全培训负责人化被动为主动,最终轻松推翻“三座大山”。