原标题:威胁就在眼前!找回面对资讯安全的危机感
图片来源:iThome
每当社会上发生重大资安事件,提升资安意识是许多人都会大力呼吁的工作,然而,这也是难以推动的部分。
而对于资安意识的促进上,在实务环境当中,又是如何?
以国际电脑稽核协会与RSA大会合作进行的2016网路安全调查结果来看,受访的461位资安主管和从业人员,对于所属单位如何支援网路安全风险降低的工作时,多数人是透过强制实施资安政策来达成;其次是投入适当的资金,以获得安全性;而表示会从事资安意识教育训练的比例,以及效法良好的安全实务,分别排名第三、第四。
虽然资安意识的培养与建立,吃力不讨好,所要涵盖的面向非常广泛,必须劝导、说服,甚至要强迫使用者,改变他们原本操作电脑,以及存取应用系统与资料的种种不良习惯,因此,在推动的过程当中,会遇上许多阻碍,不过,这种作法对于提升资安的有效性,仍然受到肯定。
例如,在SANS的2016财务面向安全与风险调查报告中,也特别提到,金融服务业当中,绝大多数的公司,除了进阶防火墙、网路入侵侦测与防御系统、端点防护系统,作为减缓风险的主要控制手段,他们对于实施员工资安意识的教育训练,所能带来的防护效果,也给予极高程度的肯定。
持续建立与强化对于资讯安全的认知
想要让一般人或公司员工,养成资安意识,首先,我们需要设法让众人了解资讯安全威胁对于生活与工作的冲击与影响,因此,必须告诉他们哪些行为是可能造成危害,因此要有所改变,才能尽可能降低发生的可能性。
不过,该如何改变可能会是一个难题,因为推动这项工作的人员,不只是理解相关的技术、风险与行为,更需要应用一些软技能来传达这些知识和处理方法,才能真正有效地培养起大家的资安意识。
当我们推动资安意识的过程中,其实会经历几个阶段,SANS特别提出了Security Awareness Maturity Model,来突显不同时期的重点发展目标,有助于判断目前组织的资安意识处于何种阶段。(图片来源/SANS)
在SANS的Security Awareness Blog当中,他们建议推动资安意识计画的负责人员,可从下列三个层面加以着手:沟通、协同运作、文化。
沟通
资安意识的养成,终究都关乎能否彼此有效沟通,因此,在一开始的时候,推动资安意识的人员,要先鼓励大家了解资讯安全这项议题,并且向他们解释为何要关心资讯安全。
根据SANS的建议,我们可透过简单的方式,描述应该要做的事情,并且设法让大家能够展现这些行为。
这就像是在行销一个理念,不过,对于许多技术人员来说,困难的部份在于,如何协助一般使用者,使其能够顺利地跨过这些知识学习的曲线,但事实上,能否建立好的沟通,其实并不在于你对资安有多专精,而是在于你如何有效传达,而且我们仍然可以设法把资讯安全理解成简单的事物,使大家能够知道该如何因应,而不是继续认为它们很恐怖与困难。所以此时,重点应该放在改善沟通的技巧。
协同运作
资安意识的良窳,牵涉到使用单位里面每个成员的认知,为了要让这样的观念普及,推动者必须要与许多人一起合作,而这些人可能遍布不同国家地区或是其他部门。
为了能够与这些人员共同推动资安意识,SANS建议,可透过一些方法来协同运作,例如,可以成立一个谘询委员会(Advisory Board)的组织,成员是来自不同部门的代表。透过他们的参与,可以促使资安意识的计画得以成形,并且能够持续维护与追蹤相关的进展。
文化
要做好资讯安全,除了针对行为层面的落实,相关风气与文化的培养更不可忽视,因为这牵涉到后续能否维繫。
而关于文化的建立,SANS认为,当中包含了观念、态度、信念的形成与确立,有了这些,才能更有效地推动资讯安全。同时,文化也包含了情感的表达与交流,而对技术人员来说,这可能会有些困难,所以,若能基于使用单位既有的文化,来进行组织内部的沟通与协同运作,对于推动资安意识将有重大的突破。
而在文化的持续建立过程中,我们可以借镜科技公司的作法--他们往往会设法生产出一些幽默的内容,让内部人员可以根据自己的排程来观看与使用。
若你身处在传统文化气氛较浓厚的环境,像是金融业或政府单位,大家可能会较倾向提供规训、专业的内容或教材,让从业人员们能够在上班时间阅读,或提供给讲师,用于人员的带领或交办。
当然,在很多环境当中,同时存在多种文化,例如,每个单位里面就可能有许多不同的世代,因而会有不同的文化。
总而言之,我们的目的是建立一个重视安全的文化,而且是关键在于相关人员能否充分理解这样的文化,并且让这样的改变,可以在适应组织原本的文化下,发展起来。
从如何确保上网安全做起
资讯安全所涵盖的主题众多,範围非常广大,但彼此重叠的部分也不少,若要在组织内部推动资安意识,不妨先从上网安全这个主题开始进行。
关于维护上网安全,目前有许多网站都提供相关的内容,可供你在推动资安意识的计画当中使用。例如,美国从发起的National Cyber Security Awareness Month(NCSAM)活动,会定期于每年10月举行。
另外,一些大型IT厂商也极力呼吁上网安全,例如,Google成立了统合多种线上资讯、工具的安全中心入口网站(www.google.com/safetycenter),而微软不只成立各种安全入口网站(https://www.microsoft.com/en-us/safety),涵盖资讯安全、个人隐私等议题的资讯,同时,也提供了资安意识的教育训练工具包。
搜寻引擎与云端服务巨擘Google,也极力在推动使用者上网安全的议题,他们在2013年万圣节发布了30种小祕诀贴图,让使用者可以在轻鬆、有趣的气氛下,分享这些安全情报。(图片来源/Google)
相关:
最新资讯速递:bodystyle引领新款展示内衣潮流
这次新品讨论会都是bodystyle的设计精心设计的一百多款时尚性感的作品,每一个作品都有它的情怀,有它的故事。从设计灵感的角度与你们分享我们的产品,致力于打造触手可
最新资讯速递:bodystyle引领新款展示内衣潮流
这次新品讨论会都是bodystyle的设计精心设计的一百多款时尚性感的作品,每一个作品都有它的情怀,有它的故事。从设计灵感的角度与你们分享我们的产品,致力于打造触手可
杰佛瑞竭尽所能想让母亲高兴,但不管他怎么做,都无法令她满意。有时嫌餐点不够烫,有时又嫌太烫,有时挑惕吃的东西不喜欢,还有铺床的方式错了,帮她拿的衣服也不对,从杂货店买回来的东西都不是她要的品牌。每次到
(中央社记者张茗喧台北1日电)踏入社工界19年的陈珮怡,多年深耕儿少保护工作,历经各种恐吓、威胁,曾一度想放弃,但看见孩子们露出安心的笑容,总给她继续走下去的力量,并获颁全国社工服务绩优奖。大学就读儿少社
做好品牌折扣男装门店导购 必学6大实战步骤
第一步:迎宾面对现代大多数的“要面子不要里子”的男性,进店之后遭遇到冷落的话,对销售来说是大大的不利。如果你是中档消费的品牌,客人进店:你自然