6

持续性进行信息安全意识教育培训很必要

 3 years ago
source link: https://blog.securemymind.com/regular-infosec-awareness-training.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

持续性进行信息安全意识教育培训很必要 – 安全意识博客Skip to content

awareness-training-steps.png

关注网络攻击趋势的人们大都了解,近年来,钓鱼攻击、网络勒索、金融欺诈等类型的攻击不断上升,而传统的技术性入侵反倒处于下降的趋势。这说明黑客们的节操越来越低下,他们比创业者参会见VC还要急躁、还要功利——想快套钱、再套钱……

在这种状态下,网络犯罪分子们不再仅仅满足于利用系统的安全漏洞,而是开始利用系统后面的人类的弱点。这就让传统的基于技术的安全防范手段越来越显得不足,大多数企业开始努力全方位的提升防御水平,以阻止或减少攻击带来的损失。昆明亭长朗然科技有限公司互联网安全分析员董志军说:随着网络犯罪等威胁环境的变化,企业级客户也开始认识到安全问题不再是信息技术问题,更多是管理的问题、是人员的问题。越来越多的首席安全官、首席信息官、首席风险官等等大头儿都开始注重针对人员进行投资,包括强化安全人员的能力,以及持续开展针对员工层的安全意识培训计划。

毋庸置疑,没有充足的安全资源是无法搞好安全的,安全专业人员也需要不断提升自己,以保证能够跟上时代发展的上步伐,能够掌握最新的威胁趋势。这里我所讲的的威胁趋势,要远远超出技术层面的“威胁预警”,那只是些漏洞列表而已。即使将它们包装上大数据、人工智能等等概念,也是不充足的,原因是安全管理水平跟不上,成为短板,再强的技术产品部署也不会成功,至少不能发挥应有的效力。

对信息安全作业流程和规章制度的培训

安全是一项平衡,不可能倾其所有投入到安全里面,也就是说,我们不能像保卫国家领导人那样,为企业的所有人员都配备足够的安全保障。同样,我们也要优化安全资源配置,将有限的安全资源投放到可以获得最大收益的地方。如果您还没有部署防病毒、防火墙这些基本的安全系统,我劝您先部署它们。接下来,该做的不是上更多更昂贵的技术系统,而是建立和改进内部的信息安全作业流程和管理制度,比如补丁修复流程、漏洞扫描流程、终端安全检查流程、信息资产管理制度、安全意识培训制度等等,并确保这些流程和制度得以落地和实施——通过定期的检查、审计和报告。

当然,要实施比较全面的信息安全管理体系那更好,这就需要更多的工作,定期的沟通、协调和培训必不可少,因为一项新的或变化着的作业流程和规章制度,总有它的背景、目标、过程、结果和控制点,这都需要不同角色人员的参与。由此可见,对信息安全作业流程和规章制度的持续性培训是改进信息安全工作的重点。

对网络信息安全技术系统上线的培训

在我的职业生涯中,我看到太多IT部门部署的网络安全系统,在项目完成验收后便扯下来,放到一边的情景。昆明亭长朗然科技有限公司董志军说:这无疑是一种不好公开说的失败,但并不能怪网络安全系统本身不够好,失败的原因在运维和支持的不到位,推翻一个旧体系,建立一个新体系不难,难在运行一个新体系。运维人员往往不像项目实施人员那样能深入了解网络安全系统维护工作的重要意义和操作实践,他们需要获得足够的培训。

还有一点,受新系统影响的用户,如果不理解不接受,那敌对起来,新系统肯定不玩完,也不能充分发挥效力。所以呢,对受影响的用户,也需很多安全技术产品方面的教育培训,就比如安装了终端安全控制软件,您得让用户从内心认可和接受,不然人家很容易明里暗里不支持的,不是卸载禁用,就是找借口说这东西不好,影响工作。

如何制定持续的信息安全意识培训计划

想借购买信息安全意识教育培训内容来改进信息安全管理体系水平的想法比较普遍,这没有什么大错,但却是本末倒置,就比如一家组织想提升内部管理水平,于是买了一车管理书籍放那儿一样,这是方法不对。正确的方法是让安全意识培训计划配合公司的信息安全管理的整体状态和目标,如果不讲安全意识目标,就来战略——选择安全意识宣教产品和服务,让战略实施来促进虚无的目标,那不正是本末倒置嘛!可能您觉得没有那么夸张,只是目标没有那么清晰地被定义出来而已,这个说法可以理解,所以我说过,这样也没有什么大错。但是话说回来,每家组织机构的业务目标、IT环境、业务和安全风险各不相同,抛开这些因素,选择通用型的安全培训内容,显然不是那么合身和适用。

要合身适用,还是得与内部业务流程、与信息环境、与安全制度等结合起来,构建内容,当然这需要较多人力物力,大型公司将这些信息安全意识的内容创作工作外包,是不错的资源配置方式,这就比如去店子里量身定制一套唐装或西服。另一种战略选择方案则是在海量的内容中选择适合自己的,这种方式就像在多个店子里多挑选试穿,也能找到适合自身的。

定期、持续、持续、持续进行信息安全意识教育

做信息安全管理体系ISMS的,有套方法简称PDCA,戴明环,不断改进信息安全意识培训其实并不算是进行持续培训的目标,目标当然是与时俱进,配合公司的信息安全管理、IT与业务风险管理等等。

全球商业态势、信息科技环境、网络威胁、攻击手段在持续演变,信息安全意识教育也得持续地进行,可以根据特殊的安全威胁或事件,进行不定期的信息安全意识沟通。同时,不要忘了,信息安全意识教育培训不是一次性的项目建设,而应该成为一个可不断重复进行和改进的安全流程。将安全意识教育定期(Regular)地进行下去,就成了规章(Regulation),多有内涵的英文单词。

昆明亭长朗然科技有限公司为多家跨国机构创作了“量身定制”式的信息安全意识教育内容资源,获得了一致的肯定和好评。我们也有创作大量模块化的信息安全意识宣教素材,包括动画视频、卡通漫画、知识讲解、互动游戏、课件模块等等,这些宣教素材也被多家国内外知名机构选用,这些客户将有限的安全预算科学地分配和使用,获得了信息安全意识宣教方面的最大收益。

如果您对这个话题有兴趣,或者有需求,都欢迎您通过电话、微信、邮件等来联系我们,洽谈业务合作。即使您只是想来电聊一聊,或者想索取一些简单的教程资源,也是很欢迎的。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

相似的文章 Similar Posts:


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK