缺乏IT安全意识可能造成巨额代价


CIO及IT总监经理们在制定IT战略计划时,会越来越重视IT安全问题,这是因为病毒、蠕虫、木马、恶意软件和互联网攻击日益猖獗,同时安全相关的法律法规越来越严格,客户对数据安全保护的要求也日益增强。

各类公司在保护自己及客户的安全上已经花费了相当数量的投资于软件、系统和策略上,然而安全链中最弱的环节却是一名名员工,例如:

1.IT安全策略已经得到了更新,公司却并没向所有员工提供相关更新的有效沟通;
2.新入职员工并未得到充分的IT安全培训便开始访问机密数据;
3.对公司不满的员工离职了,他有许多关键系统的访问权限,然而没有人能意识到他对公司是一项威胁;

实际上,回顾近年来的系列黑客攻击事件,除了那些利用未公开发布的系统漏洞进行攻击的之外,剩余几乎所有的攻击之所以能成功,都和人员的安全意识薄弱有关。

Verizon的一项数据泄露报告也表明:尽管过去一年,黑客攻击造成的数据泄露事件大量曝光于媒体,然而报告分析指出主流的大规模黑客攻击并没有特别高超的技艺和手法,只要员工们遵守基本的安全实践,这类能够造成数据泄露的攻击行为根本无法成功。

那么除了防范黑客攻击和数据泄露之外,为何说IT安全教育如此重要?

正式的IT安全意识教育计划对于保护公司的信息资产、公司职员以及公司的成功都至关重要,同时还可确保员工们了解他们的安全角色和职责。

同样,IT安全意识培训可以帮助公司对安全法律法规的遵循,每家公司或多或少会受到一些法规的监管,这些监管机构也会要求公司向员工、供应商以及合作伙伴提供正式的安全意识培训。

但是制定和执行IT安全意识教育计划并不容易,多数公司并没有足够的资源和时间来自己动手。它需要在整个公司层面多个部门和人员的参与,并且需要熟悉IT安全培训的专业技能人才。

信息安全意识计划可以分为几个阶段:

1.初级阶段是向全体员工提供一些安全资源,让他们知道信息安全的基础知识,通常的做法包括发放安全宣传单、张贴大幅安全海报、提供信息安全壁纸屏保、播放信息安全Flash影片、发送安全意识期刊等等,这些初级的方法容易上手、操作也比较简单而且成本低廉,但是缺乏与员工的互动,难保员工的参与,安全意识效果无法保障也难以衡量;

2.中级阶段包括但不局限于初级阶段的做法,重点是新员工安全培训以及年度安全培训,让员工们在入职开始工作之时便能认识到公司的IT安全方针政策和作业程序并且每年定期刷新,以便他们了解到为了保护公司以及客户的安全,他们需要扮演的角色和所担负的职责,通常的方法是向员工们提供课堂面对面的培训和电子学习课程,这类方法往往需要专职的教员或优质的精心设计制作的课程,需强制员工们的参与,工作量大,成本也相对较高,不过,这类方式往往有较强的员工互动,员工参与度高,安全意识教育的效果也更好也更容易衡量;

3.高级阶段是建立信息安全文化,这时,公司往往有更高层次的安全意识计划需求,比如信息安全上升到公司的战略高度,公司的成功已经严重信赖信息安全,公司要确保遵守商业信息安全法律规章,公司安全方针政策的执行需要得到落实和强化等等,建立信息安全文化需要长久的努力,方法需要灵活多样,并且和公司其它商业工作流程紧密结合,比如将员工的安全意识学习成绩、安全行为检查结果与工作绩效及个人发展挂钩,对安全的意识和安全的行为进行适当的奖惩措施,不断评估和改进安全意识培训方案等等,重点是不拘泥于形式并且坚持不懈,当然这种阶段的回报也是巨大的。

昆明亭长朗然科技有限公司帮助信息安全培训处于各个阶段的客户实现更成功的安全意识教育计划。

如何从零开始实施信息安全计划

信息技术极客们往往深信可以通过技术创新来改变现状和造福人类,可在现实生活中,众多社会问题明明可以通过有效的信息技术手段来解决,但为什么总是阻力重重,“理想很丰满,现实很骨感”呢?

要说是既得利益者的势力过于强大那只是弱者的借口,当一项新事物出现时,旧体制下的既得利益者有两种心态,迎合及阻拦。当创新技术有足够的颠覆力之时,看不到历史大趋势的顽固阻力几乎可以让人忽略。如果不是颠覆性的创新,信息技术极客们就不能过度相信旧体制下的既得利益者会积极迎合自己啦。

在计算机网络信息安全领域,类似的情景也在上演。昆明亭长朗然科技有限公司的企业信息安全管理顾问James Dong说:在面对导出不穷的安全事件时,IT安全管理员可能发现技术方面的控管措施并不足够,而更多需要针对人员的在流程和制度方面的标准化管理,同时在IT人员在职业发展层面也期望更上一层楼,于是IT安全从业人员们将目光转向信息安全管理系统ISMS实施领域。

IT人员不甘平庸,追求上进的精神风貌很值得肯定和赞扬,但是仅仅依靠热情和勇气并不足够。无疑,我们需要正确的方法,要有效建立和实施一套信息安全计划并不像上线一台防火墙、IPS或员工上网行为管理系统那么轻易。特别对于多数组织来讲,ISMS信息安全管理系统并非强制性必须遵守的法规。相比于一套几乎透明到无人知晓的IPS系统,ISMS更多像是在进行业务流程的梳理和再制——所有在范围之内的人员都会受到影响,都要被“搞定”。

如何开始呢?亭长朗然公司James分享如下经验:

1.获得高管的认可和赞助,信息安全和组织管理悉悉相关,IT人管理机器没问题,在部门内部推动一项计划也不用花费太大力气。要跨部门,跨站点甚至跨业务单元去推动一个项目,谁听您的啊?所以需要高层认可和赞助,拿到尚方宝剑。如果高管对此不理解,那IT安全人得让高管理解,如果高管理解了,但不买您,可能是时机不能,先等一等,多次尝试后还不行,那就只能选择放弃,因为ISMS要取得成功,一定是由上至下推动的,几乎没有由下至上推的成功案例。

2.开发制作用于实施安全政策、标准和法规遵从程序的实用指南,ISMS不是靠“人治”,而是靠“法治”,所以,需要符合ISMS要求的文件体系。简单说,需要发布精要的高端的信息安全战略方针,并且发布针对全员的安全手册,还得要求各部门制定本部门工作相关的安全操作流程。

3.确保有必要的物理安全控制措施并且有一个紧急事件响应团队,物理安全有时可能不被信息系统人员所重视,然而物理安全出现问题,会让信息安全失去根基。应急响应团队不仅来应对各类安全突发事件,也是和内部人员进行有效安全沟通,解决一线安全隐患和安全问题的关键力量。

4.采取灾难恢复计划和业务持续性计划的关键步骤,要信息安全与业务安全的目标和战略保持一致,让信息安全和业务单元的中高阶管理层有共同语言,能够相互理解和支持,并且建立起和谐的关系,这些关键的步骤一个都不能少。

5.确保计算机网络安全,守住IT人员的大本营,别让病毒代码过期了几个月、防火墙规则几年都没人看、员工偷偷使用非授权的代理服务器软件等等这类信息安全事件发生。

通过如上五点措施,即使是从零开始的信息安全管理体系建设,也应该能够在正确的方向指引之下,获得一个及格分。ISMS的提升是永不停步的,借助PDCA方法,可以不断获得改进。