Jeg har læst og tænker i dag om en reviderede NIST Special Publication SP800-16, I øjeblikket er overgået til offentlig kommentar. Hvis du er virkelig interesseret i at gøre bevidstheden omkring sikkerhed mere effektiv, vil jeg anbefale at afsætte en time eller tre til at læse og overveje udkastet til dokumentet.

At skærpe appetitten, her er blot et par korte afsnit fra en del af forslaget, med mine egne tanker og kommentarer nedenfor.

Under punkt 2.2.1 i SP800-16, siger NIST:

"Oplysning er ikke uddannelse (1). Security bevidsthed er en blandet løsning af aktiviteter (2) at fremme sikkerhed, etablere ansvarlighed, og informere de ansatte om sikkerhed nyheder (3). Kendskab har til formål at fokusere en individuel opmærksomhed om et emne eller en sæt af spørgsmål (4). Formålet med bevidsthed præsentationer er blot at fokusere på sikkerhed (4). Awareness præsentationer har til formål at give private mulighed for at genkende oplysninger sikkerhedsmæssige bekymringer og reagere i overensstemmelse hermed. (2)

I bevidstheden aktiviteter eleven er modtager af information, mens den lærende i en uddannelse, miljø, har en mere aktiv rolle. (2) Awareness bygger på at nå bredt publikum med attraktive indpakning teknikker. Uddannelse er mere formel, har et mål om at opbygge viden og færdigheder for at lette arbejdspræstation. (5)

Et par eksempler på informationssikkerhed bevidsthed materialer / aktiviteter kan nævnes:
• Begivenheder, såsom en informationssikkerhed dag,
• Briefings (program-eller system-specifikke eller emne-specifikke)
• Salgsfremmende / speciale smykker med motiverende slogans,
• En sikkerhed påmindelse banner på computerskærme, der kommer op, når en bruger logger på,
• Sikkerhed bevidsthed videobånd, og
• Plakater og flyers. (6)

Effektiv informationssikkerhed bevidsthed indsats skal være konstrueret med erkendelsen af, at folk har tendens til at praktisere en tuning-out-proces, der kaldes akklimatisering. Hvis en stimulus, der oprindeligt en vægt-getter, der bruges gentagne gange, vil den lærende selektivt ignorere stimulus. (6) Således skal bevidsthed leveringen være i gang, kreative og motiverende, med det formål at fokusere den lærendes opmærksomhed, således at den læring, vil blive indarbejdet i bevidst beslutningsproces. Dette kaldes assimilation, en proces, hvorved en person indarbejder nye oplevelser i en eksisterende adfærd mønster. (3 & 5)

Læring opnås gennem en fælles bevidsthed aktivitet tendens til at være kortsigtede, umiddelbare, og specifikke. For eksempel, at hvis et kognitivt mål er at "fremme den øgede brug af en effektiv beskyttelse med adgangskode blandt medarbejderne," en bevidsthed aktiviteten kan være brug af påmindelse klistermærker til computertastaturer. (7)

Den grundlæggende værdi af informationssikkerhed bevidsthed programmer er, at de satte scenen for bevidstheden uddannelse og rolle-baseret træning gennem en holdningsændring, der skal begynde at ændre den organisatoriske kultur. Den kulturelle forandring søges (8) er den erkendelse, at informationssikkerheden er kritisk, fordi en sikkerhed ikke har potentielt negative konsekvenser for alle. Derfor, it-sikkerhed er alles opgave. (9) "

Min kommentar:

(1) Udtrykkene "bevidsthed", "uddannelse" og "uddannelse" bruges ofte i flæng og undertiden kombineret, som i "bevidsthed uddannelse". Men de er forskellige aktiviteter med forskellige mekanismer og formål. SP800-50 "Building an Information Technology Security Awareness and Training Program" omfatter dette punkt snarere veltalende, bedre i virkeligheden end SP800-16 og FISMA som binder sig i knob over terminologi.

(2) Hvis du kan læse forbi meget misbrugt andet ord for "blandet løsning af aktiviteter", den egentlige pointe er, at kendskabet kræver en række særskilte, men supplerende aktiviteter - og med "aktiviteter" mener jeg ting, der involverer fysiske handlinger som både de oplysninger givere og de oplysninger modtagere. Jeg taler om aktiv læring, ikke passiv underholdning eller "edutainment". Den vigtigste del af en uddannelse er ikke præsentationen dias eller andre materialer, studievært, anlægget eller publikum: Det er det engagement, interesse og interaktion, der sker, når medlemmer af publikum blive inspireret til at tænke på og derefter ændre det, de do derefter. Handling siger mere end ord.

(3) at informere befolkningen, med andre ord levere relevante fakta om informationssikkerhed risici og kontroller, er et vigtigt element af oplysning, uddannelse og uddannelse, men er ikke i sig selv er tilstrækkeligt i de fleste tilfælde. Lærde, men kedeligt og tørt faktablade har begrænset virkning og kan virke mod hensigten. Nyhedshistorier er blot en måde at bringe informationssikkerhed til liv, at minde folk om, at vi ikke taler rent hypotetisk om sikkerhedsproblemer. De er virkelig sker omkring os, og ikke bare derude i nyhedsoverskrifter, men meget tættere på hjemmet, der påvirker os, vores kolleger, venner og familie og selvfølgelig vores organisation og samfund. Kom personlige oplysninger sikkerhedsområdet er en god måde at samarbejde med mennesker.

(4) Fokus er vigtigt. Generiske, bland "være mere sikker" beskeder er totalt spild af hjernens kredsløb. Folk skal vide, hvad der specifikt skal de være bekymrede over, og hvad de skal gøre ... men først de har brug for at åbne op for selv at modtage beskeden. At få folk til at "vågne op og lugte kaffen" er en mulighed, men er ikke den eneste måde (jeg vil tale om andre teknikker til et andet tidspunkt). Focus, til mig, også at få direkte til det punkt - er direkte og undgå unødvendige fnug eller irrelevante. Det omfatter også plukke om specifikke oplysninger sikkerhed emner, der giver mere dybde end det er typisk for dem, der styrtede sikkerhed introduktionskurserne klasser.

(5) Opbygning af viden og færdigheder til at styrke arbejdspræstation er alt sammen meget godt, men har kun ringe værdi, hvis folk faktisk anvendelse den viden og de færdigheder, når de kommer tilbage til arbejdet. Opnå dette er det springende punkt effektiv oplysning, uddannelse og uddannelsesmæssige aktiviteter. Medmindre folk er taget ud over det punkt, for at være rene beholdere til fakta og er motiverede for at opfører sig mere sikkert, Er programmet ikke kommer til at tjene sine holde.

(6) Bemærk, at "tvinge medarbejderne til at sidde ned i hobetal i en tilstoppet mødelokale eller auditorium, mens nogle kedelige IT-nørd eller clueless manager sprøjter ud omkring informationssikkerhed" ikke forekommer i NIST's liste over nyttige aktiviteter, men er ikke langt fra sandheden i nogle organisationer! Oplysning, uddannelse og uddannelse tager kreativitet og lidenskab. Det er ikke så svært virkelig.

(7) Under fokus til omfanget af en fælles bevidsthed aktivitet, der dækker blot en enkelt informationssikkerhed kontrol måske være nødvendigt, hvis denne kontrol er en påfaldende mangel, men synes heller ikke at dække hele bredden i sikkerhedskontrollen, at medarbejdere skal forstå og respektere, i enhver rimelig tidsramme. Kobling dette punkt med kommentarer om at holde indholdet interessant indebærer for mig at skulle køre meget hurtigt gennem en række emner, bevæger sig fremad på eller lige før det punkt, at øjenlågene begynder at hænge. Denne idé om en rullende bevidsthed program, i min erfaring gør hele forskellen, men der er endnu en lille punkt at huske på. "Sekvenser" kan tilfældig eller rettet. Et tilfældigt udvalg af informationssikkerhed emner kan opnå den ønskede dækning, men ikke udnytter muligheden for at forbinde successive emner ind i en mere sammenhængende sikkerheds-historie. Være smart om rækkefølgen og omfanget af de emner, der fører til en mere subtil form af den gamle lærers så "Fortæl dem, hvad du vil fortælle dem, fortælle dem, så fortæl dem, hvad du fortalte dem". Vi kan introducere fremtidige emner og vende tilbage til tidligere emner, som alle leverer samtidig den foreliggende emne. Den indbyrdes forbundne informationssikkerhed emner gør det ganske nemt at opnå med bare en smule af tanke og planlægning. Fordelen er en sammenhæng, og styrkelse, at tilfældige sortimenter ikke opnår.

(8) Nu er der en tanke: vi søger "kulturel forandring" er vi? Great idea, en jeg helt enig ... men desværre for mange ledere, sikkerhed bevidsthed drejer sig mindre om at opnå kulturel forandring, end om "at blive set til at gøre noget", eller, endnu værre, "gør det for overholdelse årsager". Sundhed og sikkerhed uddannelse befinder sig i samme lage. Effektiv H & S uddannelse har en varig indflydelse på, hvad medarbejderne gør som de går over deres normale drift, længe efter, at blækket er tørt på uddannelse evalueringsskemaer. Det handler om at sætte på ørevarmere og beskyttelsesbriller selv når der er ingen andre ser. Det betyder at tage et øjeblik til at beskæftige sig med en tur fare i en offentlig gennemkørsel selv når du selv har tydeligvis opdaget og undgå faren. Opnåelse af kulturel forandring til at skabe en "sikkerhedskultur" er et fantastisk mål, en, der er meget nemmere at sige end at gøre. For mig går det lidt ud over det temmelig forenklet, hvis vigtige ideer nævnt i afsnit 2.2.1, picking up begreber som:

• Skaber kontinuitet - planlægning oplysningsaktiviteter pÃ¥ lang sigt (og jeg ikke betyder 'planlægning næste Ã¥rs sikkerhedsbevidsthed session'!);
• Løsning af hele organisationen (medarbejdere og ledere), i virkeligheden er omfattet kan med fordel dække den udvidede organisation, herunder venner og pÃ¥rørende til ansatte, entreprenører / rÃ¥dgivere, outsource leverandører, kunder, leverandører, forretningspartnere og andre interessenter samt til en vis grad, samfundet pÃ¥ fri fod
• Bruger kreativiteten til at skabe interesse og engagere folk med programmet, og fastholde denne interesse pÃ¥ ubestemt tid;
• Er følsomme overfor kulturelle normer, kommunikation præferencer og sÃ¥ videre til publikum - bemærk flertalsformen: det giver ikke megen mening at fokusere al den sikkerhed oplysningsaktiviteter om en homogen mÃ¥lgruppe, nÃ¥r vi udmærket ved, at afdelinger, afdelinger, teams og enkeltpersoner varierer markant i mange afgørende omrÃ¥der. "Sælge" overholdelse af copyright til, siger, en indisk eller kinesisk afdeling er en noget anden udsigt til at fÃ¥ det samme budskab igennem til en skandinavisk organisation. For nogle mennesker er det 3 minutter højt niveau overblik over mere end nok: for andre, 3 minutter ville ikke være alt for lidt for den korteste af indledninger;
• Tager publikum engagement i det omfang, aktive publikum deltagelse, for eksempel tilskynde til ledere, it-medarbejdere og medarbejdere til at tale om de samme oplysninger sikkerhed emne, at sætte deres respektive synspunkter i forbindelse med en fælles forstÃ¥else for de vilkÃ¥r og de involverede begreber.

(9) Hvis "informationssikkerhed er alles opgave", bør det være i alles jobbeskrivelser - ikke en dårlig idé i sig selv, men jeg fornemmer, at der er lidt mere i det. "Informationssikkerhed er alles ansvar", tager det et skridt videre, da det ikke udelukkende er et job-relaterede ting, og antyder en afgørende sikkerhedskoncept, at af ejerskab, ansvarlighed og ansvar. "Informationssikkerhed er, hvad vi gør" kan være en smule overdrevet, men jeg foretrækker ordet "vi" derinde, da det er klart et fælles ansvar. [Skændes om den særlige betydning og nuancer i hvert ord smager af skøre processen med at udvikle virksomhedernes mission statements. Men den diskussion er i hvert fald, hvis ikke mere værd end det produkt, nærmest som planlægning og planer. At drøfte en sådan sikkerhed, principper, der fører til en fælles forståelse og er en god måde at engagere topledere med bevidstheden om programmet.]

Ret, det er afsnit 2.2.1 behørigt behandlet. Jeg vil stoppe her for nu, forlader behandlingen af de resterende 156 sider som en øvelse for dig, kære læser - hjemmearbejde, hvis du vil. NIST gerne bemærkninger til udkastet til SP800-16 indtil 26 juni 2009 via e-mail til 800-16comments@nist.gov.

Kind regards,
Gary Hinson
NoticeBored




Mere ...