网络安全无疑是一项跨部门的工作,这是所有行业的信息安全总监、经理和主管们不得不面对的挑战。无论是大中型公司或小微型企业,无论是中央机关还是地方单位,网络安全现在都是无法忽视的重要事务。对此,昆明亭长朗然科技有限公司网络安全分析员董志军表示:如果关注网络安全新闻,您就会知道,每年都会发生大量安全事件,苹果、索尼、京东、谷歌、当当公司这样的大公司都难逃被入侵的厄运,何况很多不会众人所熟悉的中小企业呢!可以说,所有现代的、联网的组织机构都是网络安全的潜在受害者,黑客、病毒等网络安全威胁会通过所有的通讯渠道进行渗透入侵,因此,谁都不能置身事外。
网络安全既是技术问题,也是人为问题,更是管理问题,因此搞好网络安全,需要流程、技术和人员三者有效结合的管理解决方案。组织机构必须要求管理者、员工、供应商、商业伙伴等等共同承担确保网络安全的责任。要让人们担负起责任,需要与其沟通,让其理解组织机构对其的网络安全期望,通常会制定出一些安全行为规范,并对目标受众进行安全知识的宣导,然后进行考核测试并令其签署网络安全责任书。
让我们简要分析过去的这种做法,组织机构可能仅出于法规遵从性(合规)或行为改变而实施安全意识宣导活动,这往往是被动的,或者局限于某项安全问题的,因此,不够全面和深入。现在,人们正在寻找超越安全知识和行为的方法,以使安全成为文化的一部分。
随着“国家网络安全宣传周”活动的大面积铺开,承办机构和中央机关往往会策划一些活动,并要求下属或关联机构参加,以活跃良好的宣传活动气氛。网络安全负责人应借机强化人员的网络安全职责,这正是进行网络安全政策和文化变革的非常完美时机。接下来,我们将探讨一些网络安全意识计划推广工作的方法和小技巧,以便与相关负责人、策划及执行人员分享。
发现和找出重要的信息资产
“网络安全等级保护”制度已经在很多关键性行业落地,这种思想和方法可以用于等保之外,在制定信息安全框架策略之前,应该确定组织中最有价值的信息资产。除非不这样做,所制定的安全策略最终可能迷失方向,保护了不太重要的系统或数据。让关联部门或业务单元列出重要的信息资产,以及所面临的安全风险,有助于让相关人员初步建立网络安全责任意识。
建立及更新风险应对策略
在确定好需要重点保护的信息资产之后,下一步就是实施网络安全保护。通常应该建立安全规范、策略和流程,其主要目标是保护信息系统和信息数据,以应对各类安全威胁。在制定相关风险应对策略的过程中,各部门或业务单元的领导干部以及安全协调员应该会再次强化网络安全责任意识,特别是相关的安全工作流程,需要他们日常或定期参与。此外,网络安全负责人应发动针对安全策略、流程文件的定期测评和审查,以确保有效性和保持更新,在这个过程中也是对人员网络安全责任的重复强调。
建立安全事件检测及响应能力
网络事件可能发生在组织中任何易受攻击的部分。因此,大多数员工应具有及时发现违规或可疑活动的能力。否则,隐藏于众多计算终端及员工们身边的安全隐患就无法被识别出来,分担网络安全责任就是一句空话了。列出一些网络安全隐患和安全事件的特征,以便员工们知晓,比如工作场所出现的陌生人、计算设备出现的异常情况、可疑的信息刺探来电、不请自来的电子邮件附件、不合情理的过分权限请求等等。这些将帮助员工们了解需要报告的事件和可以忽略的事件,进而让员工们了解其在日常工作中所能做的网络安全事情,在潜移默化中反哺网络安全责任意识。此外,网络安全部门强化安全事件的应对能力,包括与部门或业务单元的领导及安全协调员的协同工作,所有的安全事件都应立即得到遏制,并采取适当的措施予以应对。因此,制定并实施安全事件响应计划是网络安全部门的关键工作,该计划将使业务运营尽快回到正轨,而且影响最小。当人们了解到自己在网络安全事件化解方面可以为组织做出的积极贡献,甚至可以得到认同或奖励时,他们会更有责任感。
建立及更新业务持续性计划
不怕一万,就怕万一,即使人人都有足够的网络安全意识并能积极投入安全保护行动,组织机构仍然应为最坏的情况做好准备。在发生意外的灾难性安全事件,比如重要的信息资产被破坏,信息系统中断、数据失窃之后,请立即启动业务持续性计划,响应并使业务操作恢复正常。灾难恢复计划中应以人为本,确保人员生命安全为每一要素。灾难中,员工们应该知晓生命受到关爱,在生命安全不受威胁的情况下,自然而然就会全心投入到业务的恢复工作。经历过灾难,经过努力奋斗,将业务恢复到正常,员工们将更加深入地认识到网络安全工作的重要性,认识到自身的网络安全责任。
总而言之,针对人员的安全意识计划很重要,因为人员将一直是网络不法分子坏蛋的主要目标。使用上述这些技巧,网络安全管理负责人可以创建一种共同承担责任的企业文化,以激发所有人员的安全思想和行动。显然,网络安全的未来取决于所有的利益相关者,包括我们所列举的网络安全部门、业务部门或业务单元、供应商、合作伙伴等等。任何一方在网络安全方面的疏忽或过失,都是没有任何一个利益相关者能够完全承担的,因为每一个计算终端、每一位同事的安全弱点都可能被利用,进而对整个组织来讲,演变成前所未有的巨大灾难。
为了帮助各类型的组织机构强化人员的安全职责意识,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。