Information Security Awareness

是否需要在企业层面建立信息安全意识月?

admin

搞信息安全意识教育如同内部市场营销活动,各种手段要综合并用才能获得最佳的营销效果。在这些林林总总五花八门的手段中,策划信息安全意识相关的专题活动是一项工作重点。

十月份是美国的互联网安全月Cyber Security Awareness Month,由于美国在全球拥有的强大实力,它的信息安全意识教育做法也纷纷被英联邦国家效仿,接着英国引导欧洲、中东及非洲,澳大利亚带领亚洲和大洋洲,加之英语的普世效应,这一做法大有推广至全球的趋势。

尽管中国的互联网仍然被西方世界广泛认为审查过严,甚至和伊朗、叙利亚之类的国家互联网络相提并论,抛开不同文明体系中的政治文化冲突不谈,解决全球互联网安全问题并不是简单加强内容审查和过滤这么容易。俗话说“解铃还需系铃人”,美国发明了互联网并推动了相关的产业巨变,在造就互联网荣耀的同时,也给带来了大量的网络犯罪,所以我们有理由相信,甚至仍然需要美国来领导解决全球网络安全问题。

不要以为解决信息安全问题可以“中学为体,西学为用”或“师夷长技以制夷”。随着信息技术的引进,信息安全控管理念和措施应该紧紧跟随,否则小可导致个人电脑中毒,中可令组织业务安全受损,大则能使国家安全面临严重威胁。

在信息安全控管措施方面,我国大力发展“自主知识产权”的安全控管体系,加之政策的扶持,大批的安全技术研究专项立项,亦有大量安全软硬件系统设备被制造出来。除了关系国计民生的关键领域是这些信息安全控管措施的消费主力之外,大批的企事业单位是巨大的企业信息安全设备和服务的消费者。

不过,在这片欣欣向荣的信息安全产业发展大局势中,有一样控管措施仿佛被市场忽略了,这项安全控管措施却是非常关键的,它便是信息安全意识Information Security Awareness。不可否认的是各类信息安全控管措施必须在相关安全理念的指导下才能发挥效力,就像人们常说的“理论指导实战”一样。

然而,国内的信息安全市场仿佛并不看好信息安全意识,关键的因素是安全意识教育产品或服务的商品化,安全意识教育相比于硬件设备来说,是无形的,而且即使进行相关工作,也难以立即看到成绩,所以安全意识培训在多数由绩效衡量拉动的组织内部并不是工作的重点。

不过,实际上,多数组织机构都明白大部分的安全事故的最终原因是人员的安全意识不足,所以不少组织都有专门负责对员工进行信息安全意识培训的职位描述,甚至有专门的安全讲师和团队来负责员工安全培训方面的工作,当然也有不少组织机构将这些培训工作进行外包。

国家相关部委早已经下达各类文书,督促和强制下级各单位加强对职员进行安全意识培训。在更广泛的商业领域,多数企业除了会对新入职员工进行简单而必要的安全基础培训之外,往往并没有更多的行动。随着时间的推移安全相关的知识理念会被员工遗忘,而信息安全所面临的各类威胁却不断出现,所以仅仅提供些粗浅的新员工安全培训显然是不足够的。

提供年度的信息安全意识刷新被提上信息安全管理负责人的工作议程,的确,旧有的安全知识在新型安全威胁面前会过期,即使不会过期也可能被遗忘,所以每年针对全体员工进行一次大规模的安全意识检查和修补非常必要。

在大型的组织机构中,想将员工统统组织起来开大会宣讲安全新精神新理念简直不可能,时间和空间的限制不说,成本也会居高不下。如何能选择最为有效的手段呢?建立信息安全意识月是不错的答案。信息安全意识月不是简单的宣布一下安全月的到来就完事了,要多种活动交叉进行,比如发放员工安全手册、张贴安全意识海报、派送安全期刊、放置安全培训展板、发放安全教育漫画、实施安全知识测评、提供安全意识在线学习、发送安全认知短信,搭建信息安全座谈会,开展安全场景模拟攻击演练等等。

根据此前一年的安全事故报告分析情况,突出一两个安全教育主题,搞一些案例和场景的分析,可以帮助降低同类事故的发生概率。更重要的是加强与员工们的互动,激发员工们的参与,会让安全理念更加深入人心,互动式的座谈会、电子学习课程和渗透攻击、在线考试等等不但会给学员们学习的压力,更生动有趣的设计比起单向的内容提供要有效得多。

是否需要在企业层面建立信息安全意识月呢?昆明亭长朗然科技有限公司的信息安全意识顾问告诉您答案是肯定的,不过最终是否设立呢?决定权还是在您的手中,就如同安全在所有员工的心中和手中一样。

信息安全培训行业呼唤互动式的在线课程

admin

市场需求变化多端,商业模式也在随之变化,产品和服务不断被重新定义,公司要形成独特的竞争优势,疏通价值链,实现战略协同合作是当今的一个趋势。

行业领袖企业往往会占领价值链的核心,掌握和占据行业生态控制的主动权——通过信息系统整合和优化供应链,进而形成行业准入和竞争壁垒。无疑,伴随着商业模式和流程的重组和再制,海量的数据将被不断地催生、交换和处理。即使我们能设计和实施最为高效最为安全的系统,也难免要与价值链中的系统用户互动,难免需要他们参与商业流程的操作,要想到达多方共赢的局面,同时在利益博弈之中处于优势地位,绝不能忽视信息安全,绝不能忽视最终用户在公司数据保护和商业风险控制方面所发挥的重要作用,所以建立公司内外的信息安全意识培训计划势在必行。

而广义上的外部环境也日益强化法律法规的遵从性,上市公司则面临着更多行业监管的要求,计算机犯罪率的上升也让网络信息安全成为公司的必修课,要下采购订单的国际大主顾对数据的安全更是不依不挠,其中都有不少关于信息安全意识培训的篇幅。

无论如何,教育员工及价值链一些关于信息安全的基础都是必须的。信息安全意识培训帮助保护公司的信息资产,如果这些信息资产丢失,结果可能轻则伤及公司形象,重则致使公司巨额亏损甚至破产。

较为规范的大型公司通常都有足够的信息安全意识培训预算,不过仍然有不少公司没有意识到这需要一笔明确的投入,在出现严重人为原因造成的安全事故之后,相关负责人员再被问责,怕是再后悔、翻倍投入也无法挽回巨额损失。

中小型企业通常没有庞大的预算和专职的安全培训人员,如果处于行业价值链中领袖企业的上下游,则可以借鉴领袖企业的做法,甚至共同分享安全意识培训资源。

对多数企业来讲,必要的投入不是问题,只是投入多少而已,当然目标都是解决商业风险和信息安全管理中人员的意识问题,而要达到这些目标,传统上有三种途径:内部培训、外部培训或网络培训。

内训的好处是课程设置更贴身,毕竟内部讲师更了解公司的实际情况,然而不要简单认为寻找内部培训讲师不用向公司外支付费用,成本低而且效果好,非专职的讲师设计课程的资源耗费要远高于专业人员,熟悉内情和知道如何解决问题是两回事。

聘请外部培训公司或讲师,外部讲师多数更加专业,并且见多识广,虽然不是很了解客户内情,至少可以帮助推广普世信息安全真理,另外,如果前期在客户的问题挖掘、需求分析和培训战略等方面的准备充分,则可带来理想的培训效果,只是往往花费不菲,而且培训到受时间空间限制,并不可重复。

依托电脑网络进行培训则是行业趋势,它打破了时空限制,让培训资源可重复利用,进而节省成本。另外,信息安全管理负责人员如能将例行的安全培训工作系统化,其能在公司商业模式和流程创新中的卓越贡献则更是可想而知。

不管哪种培训方式,培训目标中最重要的是让最终用户明白自己在价值链的成功之中所扮演的重要角色,认可和接受自己在保障公司的成功之中所承担的重要职责。

要达到这目标,要分析用户,大部分电脑用户并非IT安全专业人员,安全意识培训应该简单明了,且接近这些日常用户,安全专家喜欢讲些深奥的安全道理,即使没有故弄玄虚,也会让用户望而却步,这种方法并不恰当,真理是朴素的,像对待不懂电脑的亲朋好友一样,告诉他们简单的安全防护道理、知识和技巧,使用这些,在保护公司的同时,也保护了他们自己和家人,他们才乐于接受。

在多数公司的培训和宣传课堂上,通常看到不少员工在打盹,他们根本没有兴趣甚至抵触这些课程,这实际上是在严重浪费时间资源,讲师们通常将这些问题归于学员,当然不能排除个案,实际上多数情况在于这些课程的表现形式过于枯燥和单调,缺乏与学员的互动。

大型的现场安全培训覆盖人群广,但是难得有实质性的互动;小型课堂式培训效果好,可是受训的人数有限;录制一段视频让员工自己在电脑终端播放着学习也缺乏互动,只是不受大型现场安全培训的时空限制……这就是多数公司进行安全培训策划时面临的困难选择。

然而,一切都在变化,互动式的信息安全意识电子学习课程越来越受人喜爱,音频视频、防呆设计、用户参与、小游戏、挑战过关、角色扮演、奖励激励、仿真游戏、测试环节等功能和方式逐渐加入,让学员们耳目一新,让课程不在枯燥,在互动中成长,在实践中锻炼,在测试中学习。

昆明亭长朗然科技有限公司近期出台了一项互动式的网络安全培训课程,看了看免费的公开版,虽然没有让这种枯燥的课题变得栩栩如生,但也变得生动形象,让公司的网络安全制度平易近人,进而让员工知晓网络信息安全的基础理念,采用标准的最佳网络安全实践。

该公司以极低的产品价格帮助重视员工培训的中小企业建立信息安全意识教育课程,也为大型公司提供客户化培训产品的定制设计和开发制作。

有理由相信,这种互动性的课程设计必将成就信息安全意识培训的未来,也必将成为信息安全意识教育的未来。