Hord Tipton er citeret i en temmelig Curt stykke på GovInfoSecurity at henvise til "nødvendigheden af at give føderale ansatte uddannelse oftere end en gang om året på grund af de stadigt skiftende udfordringer IT sikkerhed præsenterer". Højreklik på Hord! Jeg er klar over jeg citere et lille uddrag af et kort stykke om et tryk på interview, men stadig er der meget mere i det end Hord redegørelse indebærer. Jeg håber, at du vil tilgive mig en kort men passioneret tirade ...

1. Det er ikke kun føderale ansatte, der har brug for mere end én gang om året uddannelse. Det samme gælder for alle, herunder ansatte (medarbejdere, ledere, it-branchen, temps, entreprenører, konsulenter, revisorer ...), studerende, pensionister og andre ordinære medlemmer af offentligheden. Og ja, selv CISSPs. En gang om året uddannelsesforløb falder måde op til, hvad enhver rationel faglig ville kalde Kontinuerlig faglig uddannelse.

2. Hvad er "uddannelse" anyway? I min erfaring, er det forvaltningen tvetungede for et foredrag på tropperne - en udsendelse, en prædiken måske, men næsten altid kedelig, kedelig og værre end det, irriterende for alle involverede. Management komme til tud off på arbejdsstyrken om, hvad de bør og ikke bør gøre. De fastsætter de i selskabsret, sædvanligvis med implicitte eller eksplicitte trusler mod tæve beskeden hjem. Sådanne møder tage tid ud af travlt worklives og har deltaget i under sufferance (ikke fordi publikum faktisk ønsker at gå sammen og lære nye ting, men fordi de får at vide, ikke kan fortsætte med at de "bare nødt til at gå"). indbildske eller naive ledere kryds overholdelsen rubrik, der hedder "Sikkerhed bevidsthed - Done", og gå videre til »vigtigere ting«. I virkeligheden , hvad jeg taler om, er hverken bevidsthed eller uddannelse. Det er en amatør forsøg på hjernevask. Det viser en forbløffende mangel på kreativitet og forståelse af den menneskelige psykologi. Den eneste motivation at målene er at tilskynde ansatte (og jeg har satset, nogle ledere ) for at finde måder at omgå fremtidige sessioner.

3. IT faktisk nuværende stadigt skiftende udfordringer, men det gør den organisation, virksomhed, den kommercielle og lovgivningsmæssige rammer, de mennesker, de indberetningsforpligtelser, konsekvenserne af fiasko, hackere, den malware, de kriminelle, konkurrenterne , den jævnaldrende partnerne ... Åh, og ved den måde, det er ikke bare et spørgsmål om IT-sikkerhed. Informationssikring tager i de indlysende ting såsom indiskretioner samtaler og udtræden følsomme papirer om offentlig transport, men mere raffineret det drejer sig om at beskytte oplysninger aktiver, jf. de oplysninger, indhold, mening, viden, ekspertise og erfaring - som går langt ud over de oplysninger eller IT.

Sikkert ved nu, vi alle vide årlige bevidsthed Samling simpelthen ikke fungerer. Det er egentlig ikke svært at stikke gigantiske huller i konceptet, men hvorfor har denne latterlige "årlige bevidsthed" ting nægte at fastsætte og dø? Jeg tvivler enhver CISSP alvorligt ville påstå, at udsætte de ansatte til en " awareness training session "(hvad det så end måtte være) vil opnå noget gavnligt fortiden de første par uger, dage, timer eller minutter, endsige vedvare indtil næste års samling. Ville du give en person mulighed for at køre en bil på grundlag af en "kørsel awareness training session" en gang om året? Ville du være glad for at don ansigt maske og placere dine mest værdifulde personlige ejendom i hænderne på en kirurg, der har en "kirurgi awareness training session" næsten et år siden? Det er helt nødder, men det dukker op som et frygtede Zombie tilbage fra graven for at hjemsøge os.

Det, der bekymrer mig mest, er, at blot at gentage sætningen (som jeg sætter pris på, ironisk nok, er netop, hvad jeg nu gør) "årlige bevidstheden omkring sikkerhed uddannelsesmøder" fremmer den myte, at det er, hvad der menes med bevidstheden omkring sikkerhed og / eller sikkerhed, uddannelse, som er i virkeligheden helt forskellige idéer. Endnu værre er det, fordi vi alle vide at disse årlige møder er en værdiløs og ulidelig spild af tid, det indebærer, at både bevidstheden omkring sikkerhed og tryghed uddannelse også er værdiløs og ulidelig. Doh! Det er et klassisk eksempel på at smide barnet ud med badevandet.

Overvej om en anden den moderne fly og dets pilot. Cockpit er proppet fuld af de mest fantastiske tekniske wizzardry, der er designet til at flyve lige så sikker, omkostningseffektiv og generelt behageligt som muligt for alle involverede, en stor del af dem har til formål at gøre pilotens job enklere og nemmere end nogensinde ... Men vi skal ikke lade blot nogen sidde i den varme stol og flyver os til Barbados. Piloter forpligter intense kurser på stedet, før selv tager til himlen, og derefter er forpligtet til at uret så mange timers flyvning erfaring inden de blev tildelt det privilegium om at blive en kvalificeret pilot - og ja det er et privilegium, som bærer et tungt ansvar. De har yderligere on-the-job træning og flyvesimulator øvelser for at fuldføre, og regelmæssig evaluering at holde dem ajour med de nyeste teknologier, flyveregler og så videre, hele deres karriere. De mødes og tale med andre piloter, at interessere sig for nye risici og muligheder i at flyve. De udvikler en meget personlig passion eller kærlighed til, hvad de gør. De få det.

OK, nu skifte scener til den gennemsnitlige corporate "slutbruger" (sikkert en nedsættende sigt, men helt apt i denne sammenhæng) - stort set uuddannet, næsten altid ukvalificeret og endnu sad i den varme stol leger med virksomheds-og personlige oplysninger aktiver med næsten en tanke, at deres beskyttelse eller sikkerhed. pc'en er blot et værktøj til ham, en, der tilhører den onde selskab, der gør ham arbejde for et levende. Er vi overraskede de ikke få det på alle, også lige efter en af disse forfærdelige "årlige bevidsthed uddannelsesmøder"?

Ret, skal du skifte scener igen til det klassiske nørd hacker, alle tatoveringer og piercings og sort hoody - selvstændig uddannede og dygtige, engagerede og ja intenst passioneret om, hvad han gør, med en dyb fascination og respekt for teknologien. Hans PC er en kunst , en ting af glæde, en alter selv. Han lever i et parallelt univers til slutbrugeren. Når slutbruger-mand knocks off arbejde på 5pm og traipses dejectedly hjem, det sidste, han ønsker at gøre, er at "sidde foran den blodig PC hele natten ", mens det er præcis, hvad nørd-hacker nyder mest. Når bytes starte flyvende, de endorfiner er frigivet, og før han ved det, er det daggry og tid til at blive klar til arbejde.

I edb-sikkerhed, det er et alvorligt unfair kamp. I det blå hjørne, slutbruger mand bare ønsker at gøre sit job og har et let liv. I det røde hjørne, nørd hacker ønsker at eje sit b0x, og har de værktøjer, ekspertise og motivation til at få det (og i disse dage, nogen ønsker at betale ham alvorlige penge til at gøre det for ham). mellemtiden de fattige gamle sikkerhed manager gør sit bedste for at jamen dog op slutbruger-mand fra sidelinjen, men ved, er der ikke vil være en smuk slutter.

Tja måske, jeg har seriøst over-strakt at analogt og taget parodi for langt, men hvad jeg virkelig få ved er, at slutbrugeren-mand desperat brug effektiv informationssikkerhed oplysning og uddannelse til:

• Informere ham om de oplysninger sikkerhedsrisici alle omkring ham, hvad han kan forholde sig til;
• Vis ham, hvordan man kan genkende og håndtere disse risici, i pragmatiske hensyn han rent faktisk kan bruge;
• Giv ham de færdigheder og redskaber til at gøre ting sikkert, og den forstand, at rapporten ting, der er åbenbart ikke ret;
• Motivere ham til at træffe en interesse i at beskytte både Corporation's oplysninger aktiver og hans eget;
• Minde ham om hans forpligtelser, hvilket betyder, ansvarlighed og ansvar over opfører sikkert;
• Light at gnist af lidenskab, at renter og følelse af kontrol over sin egen skæbne, der vil give ham mulighed for at tage kampen for det andet hjørne. Indtil og medmindre vi kommer til dette stadium, constently og repeatably, "uddannelse" er dømt. Vi vil aldrig skabe en sikkerhedskultur ved råben den ned arbejdstagerrepræsentanterne earholes en gang om året.

Det var det, slap af, tirade over. Nu er det din tur. What do du think?




Mere ...