Ich habe Lesen und Denken heute über eine überarbeitet NIST Special Publication SP800-16, Die derzeit für die Öffentlichkeit freigegeben. Wenn Sie wirklich daran interessiert, das Bewusstsein für die Gefahrenabwehr effizienter zu gestalten, empfehle ich, abgesehen von einer Stunde oder drei zu lesen und zu prüfen, den Entwurf des Dokuments.

Um Appetit, hier sind nur ein paar kurzen Absätzen von einem Abschnitt des Entwurfs, mit meinen eigenen Gedanken und Kommentare unten zitierten.

Nach Abschnitt 2.2.1 der SP800-16, NIST sagt:

"Das Bewusstsein ist nicht Ausbildung (1). Sicherheitsbewusstsein ist ein Blended-Lösung von Aktivitäten (2), dass die Förderung von Sicherheit fest, Verantwortlichkeit und die Belegschaft von Sicherheits-News (3). Awareness soll sich die individuelle Aufmerksamkeit auf ein Problem oder eine Reihe von Fragen (4). Das Ziel der Sensibilisierung Präsentationen ist einfach, die Aufmerksamkeit auf die Sicherheit (4). Awareness Präsentationen sind, dass der Einzelne zu erkennen, Informationen Sicherheit und reagieren entsprechend. (2)

In Sensibilisierung der Schüler ist ein Empfänger von Informationen, in der Erwägung, dass die Lernenden in einer beruflichen Umfeld hat eine aktivere Rolle. (2) Awareness setzt auf erreichen breite Publikum mit attraktiver Verpackung Techniken. Ausbildung ist mehr formal, mit einem Ziel der Aufbau von Wissen und Fähigkeiten zu erleichtern Arbeitsleistung. (5)

Ein paar Beispiele von Informationen das Bewusstsein für die Gefahrenabwehr Materialien / Aktivitäten umfassen:
• Veranstaltungen, wie zum Beispiel ein Informations-Sicherheits-Tag,
• Briefings (Programm-oder System-oder Ausgabe-spezifisch)
• Promotion / SPECIALTY Schmuckstücke mit motivierenden Slogans,
• Eine Erinnerung Sicherheit Banner auf Computer-Bildschirme, die angezeigt wird, wenn sich ein Benutzer anmeldet,
• das Bewusstsein für die Gefahrenabwehr Videobändern, und
• Plakate oder Flyer. (6)

Effektive Informationen das Bewusstsein für die Gefahrenabwehr Anstrengungen unternommen werden müssen, die mit der Erkenntnis, dass Menschen dazu neigen, um der Praxis Tuning-out-Prozess, der Akklimatisation. Wenn ein Impuls, ursprünglich ein Blickfang ist damit auch, wird immer wieder, die Schüler werden gezielt ignorieren die Impulse. (6) So, das Bewusstsein Lieferung muss im Gange, kreative und motivierende, mit dem Ziel der Konzentration der Schüler darauf aufmerksam, so dass das Lernen werden in bewusste Entscheidungsfindung. Dies wird als Assimilation, ein Verfahren, bei dem eine individuelle enthält neue Erfahrungen in eine bestehende Verhaltensmuster. (3 & 5)

Lernen durch ein einziges Bewusstsein Aktivität neigt zu kurzfristigen, unmittelbar und konkret. Zum Beispiel, wenn ein Lernziel ist es, "die verstärkte Nutzung von effektiven Passwort-Schutz der Mitarbeiter," ein Bewusstsein Aktivität könnte die Verwendung von Erinnerung Aufkleber für Computer-Tastaturen. (7)

Der Grundwert der Information Security Awareness-Programme ist, dass sie die Voraussetzungen für die Aufklärung und die Rolle der beruflichen Bildung durch, die zu einer Veränderung in der Einstellung, die beginnen, die Organisationskultur. Der kulturelle Wandel gesucht (8) ist die Erkenntnis, dass Informations-Sicherheit ist von entscheidender Bedeutung, da ein Ausfall der Sicherheit hat möglicherweise negativen Folgen für alle. Die Informationen Sicherheit geht alle an Arbeitsplätzen. (9) "

Mein Kommentar:

(1) Die Begriffe "Bewusstsein", "Ausbildung" und "Bildung" werden oft synonym verwendet und manchmal in Kombination, wie in "Training". Allerdings werden sie die verschiedenen Tätigkeiten mit unterschiedlichen Verfahren und Zwecke. SP800-50 "Aufbau eines IT-Security Awareness and Training Program" umfasst dieser Stelle nicht eloquent, in der Tat besser als SP800-16 und FISMA die Krawatte selbst in Knoten über die Terminologie.

(2) Wenn Sie lesen können, der Vergangenheit viel missbraucht zweite Wort von "Blended-Lösung von Maßnahmen", der eigentliche Punkt ist, dass das Bewusstsein, bedarf es einer Reihe von getrennten, aber sich ergänzende Aktivitäten - und von "Tätigkeiten" meine ich Dinge, die physikalischen Maßnahmen von den beiden die Geber und Empfänger der Informationen. Ich spreche von proaktiven Lernen, nicht passive Unterhaltung oder "Edutainment". Der wichtigste Teil der Ausbildung ist nicht die Präsentation Folien oder anderen Materialien, der Moderator, der Einrichtung oder dem Publikum: es ist das Engagement, Interesse und Interaktion, die geschieht, wenn die Mitglieder des Publikums zu inspirieren, darüber nachzudenken und dann zu ändern, wie sie danach tun. Taten sprechen lauter als Worte.

(3) Die Information der Bürger, in anderen Worten, die relevanten Fakten über Informationssicherheit Risiken und Kontrollen, ist ein wichtiger Bestandteil der Aufklärung, Ausbildung und Bildung, sondern ist an sich nicht ausreichend ist, in den meisten Fällen. Gelehrten, aber langweilig und trocken Factsheets haben nur begrenzte Auswirkungen und kann kontraproduktiv sein. News Geschichten sind nur eine Möglichkeit, um Informationen die Sicherheit des Lebens, die Menschen daran erinnern, dass wir sprechen hier nicht rein hypothetisch über sicherheitsrelevante Ereignisse. Sie sind wirklich um uns herum geschieht, und nicht nur draußen in der Nachrichten-Schlagzeilen, aber viel näher zu Hause, die uns, unseren Kollegen, Freunden und Familien, und natürlich unsere Organisation und Gesellschaft. Erste Informationen über die persönliche Sicherheit ist eine gute Möglichkeit, sich mit Menschen.

(4) Focus ist wichtig. Generic, mild "zu mehr Sicherheit" Nachrichten sind insgesamt Abfälle von Gehirn Zyklen. Die Menschen müssen wissen, was, insbesondere, sollten sie beunruhigt und was sie tun sollten ... Aber zuerst müssen sie zu öffnen, um auch die Nachricht erhalten. Die Menschen "aufwachen und riechen Sie den Kaffee" ist eine Option, ist aber nicht der einzige Weg, (ich spreche über andere Techniken, ein anderes Mal). Focus, zu mir, auch immer auf den Punkt -, die direkte und die Vermeidung unnötiger Fusseln oder irrelevancies. Dazu gehört auch Kommissionierung über spezifische Informationen Sicherheit Themen, mehr Tiefe, als typisch für die Sicherheit eilte Induktion Schulungen.

(5) Aufbau von Wissen und Fähigkeiten zur Verbesserung der Leistung ist alles schön und gut, aber hat wenig Wert, es sei denn, die Menschen tatsächlich verwenden die Kenntnisse und Fähigkeiten, wenn sie wieder an die Arbeit. Dies ist der Kern einer wirksamen Aufklärung, Ausbildung und pädagogische Aktivitäten. Es sei denn, die Menschen getroffen werden, über den Punkt, dass nur die Gefäße für Tatsachen und sind motiviert, verhalten mehr sicherDas Programm ist nicht zu verdienen seine halten.

(6) Beachten Sie, dass "Mitarbeiter zwingen, sich hinzusetzen en masse in einem stickigen Konferenzraum oder Hörsaal während einige langweilig IT geek oder ahnungslosen Manager Ausgüssen aus Informationen über die Sicherheit" nicht mit in die Liste der NIST lohnt Aktivitäten, ist aber nicht weit von die Wahrheit in manchen Organisationen! Sensibilisierung, Aus-und Weiterbildung die Kreativität und Leidenschaft. Es ist nicht wirklich schwer.

(7) Die Konzentration auf das Ausmaß der Sensibilisierung eine einzige Tätigkeit, die nur einem einzigen Informationen Sicherheitskontrolle vielleicht notwendig sein, dass eine Kontrolle, wenn es nicht auffällig, aber das scheint unwahrscheinlich, dass die volle Breite der Sicherheits-Kontrollen, dass die Mitarbeiter sollten verstehen und respektieren, in alle angemessenen Zeitraums zu verwerten. Kupplung diesem Punkt mit den Bemerkungen über die Haltung der Inhalt interessant, bedeutet für mich die Notwendigkeit, um ganz schnell durch eine Abfolge von Themen, eine Spitzenposition bei oder kurz vor dem Punkt, dass die Augenlider beginnen, Statik. Die Idee, ein fortlaufendes Bewusstseins-Programm, in meiner Erfahrung macht den Unterschied, aber es gibt noch ein wenig Sinn zu berücksichtigen. "Folgen" kann stichprobenweise oder richtet. Eine zufällige Auswahl von Informations-Sicherheits-Themen erreichen können, aber die gewünschte Abdeckung fehlt die Möglichkeit, gemeinsam aufeinander folgenden Link Themen in einer kohärenteren Sicherheits-Geschichte. Als Smart über die Reihenfolge und den Umfang der Themen führt zu einer subtilen Form des alten Lehrers sah "Sagen Sie ihnen, was Sie sagen ihnen, sagen sie, dann sagen sie, was man ihnen sagte". Wir können die Zukunft beziehen und Themen zurück zur vorherigen Themen, die alle gleichzeitig vorliegenden Thema. Die Verknüpfung von Informations-Sicherheits-Themen ist diese sehr einfach zu erreichen, mit nur ein bisschen Denken und Planung. Der Vorteil ist, ein Maß an Kohärenz und Stärkung dass zufällige Sortimente nicht erreichen.

(8) Jetzt gibt es ein Gedanke: Wir sind auf den "kulturellen Wandel" sind wir? Tolle Idee, die ich durchaus befürworte ... aber leider für viele Manager, das Bewusstsein für die Gefahrenabwehr geht weniger um die Verwirklichung kultureller Wandel als Thema "gesehen werden zu tun" oder, noch schlimmer, "tut es für die Gründe". Sicherheit und Gesundheitsschutz Ausbildung befindet sich in der gleichen pickle. Effektive H & S Ausbildung hat eine nachhaltige Wirkung auf, was Mitarbeiter tun, was sie über ihre normalen Geschäftstätigkeit, lange nachdem die Tinte getrocknet ist über die Ausbildung Bewertung Formen. Es geht darum, dass am Ohr Muffs und Schutzbrille auch wenn es niemand anderes suchen. Es heißt, dass wir einen Moment Zeit, um sich mit einem Ausflug in eine öffentliche Gefahr Straße auch wenn Sie selbst haben klar erkannt und vermieden und die Gefahr. Erreichen kulturellen Wandel zu einer "Kultur der Sicherheit" ist ein fabelhaftes Ziel, das ist viel einfacher gesagt als getan. Für mich geht es etwas über die eher simpel, wenn wichtige Ideen in Abschnitt 2.2.1, Kommissionierung Konzepte wie zum Beispiel:

• Kontinuität - der Planung über die Aktivitäten langfristig (und ich nicht bedeutet "Planung im nächsten Jahr das Bewusstsein für die Gefahrenabwehr Session '!);
• Auseinandersetzung mit der gesamten Organisation (Personal-und Führungskräfte), in der Tat den Anwendungsbereich kann sinnvoll für die erweiterte Organisation einschließlich Freunden und Verwandten von Mitarbeitern, Vertragspartnern / Berater, der Auslagerung der Lieferanten, Kunden, Lieferanten, Geschäftspartner, andere Betroffene, und, bis zu einem gewissen Grad, die Gesellschaft bei großen
• Mit Kreativität, um Interesse und die Menschen mit dem Programm, und zu halten, dass das Interesse auf unbestimmte Zeit;
• Sensibel auf kulturelle Normen, Kommunikations-Einstellungen und so weiter für das Publikum - die Mehrzahl Hinweis: Es macht wenig Sinn, sich alle die das Bewusstsein für die Gefahrenabwehr auf einer homogenen Publikum, wenn wir wissen ganz genau, dass Business Units, Abteilungen, Teams und Einzelpersonen sind deutlich in vielen wichtigen Bereichen. "Selling" Einhaltung von Urheberrechten, die sagen, eine indische oder chinesische Business Unit ist eine ganz andere Perspektive, um sich der gleichen Stelle in einem skandinavischen Organisation. Für einige Menschen, die 3 Minuten zu hohen Übersicht ist mehr als genug: für andere, 3 Minuten nicht annähernd genug für die kürzeste der Einführung;
• Unter Publikum Engagement in dem Umfang der aktiven Beteiligung Publikum, zum Beispiel die Förderung Manager, IT-Fachleute und Mitarbeiter, sich auf die gleichen Informationen Thema Sicherheit, dass ihre jeweiligen Standpunkte im Rahmen der ein gemeinsames Verständnis der Begriffe und Konzepte an.

(9) Wenn "Informationssicherheit ist jeden Arbeitsplatz", es sollte in allen Beschreibungen - keine schlechte Idee an sich, sondern ich glaube es ist ein bisschen mehr dahinter. "Informations-Sicherheit ist jeder in der Verantwortung" nimmt sie einen Schritt weiter, da es nicht nur ein Job-bezogen ist, und weist auf eine wichtige Sicherheits-Konzept, dass der Eigenverantwortung, der Rechenschaftspflicht und Verantwortlichkeit. "Informations-Sicherheit ist es, was wir tun", könnte ein bisschen übertrieben, aber ich bevorzuge das Wort "wir" dort, da sie eindeutig eine gemeinsame Verantwortung. [Argumentation über die besondere Bedeutung und Nuance jedem Wort den Beigeschmack der verrückten Prozess der Entwicklung von Corporate Mission Statements. Doch die Diskussion ist zumindest, wenn nicht mehr wert ist als das Produkt, sondern wie die Planung und Pläne. Diskussion über die Sicherheit Grundsätze führt zu einem gemeinsamen Verständnis und ist eine gute Möglichkeit, sich Führungskräfte mit dem Bewusstsein Programm.]

Recht darauf, dass der Abschnitt 2.2.1 gebührend berücksichtigt werden. Ich werde dort jetzt, so dass die Prüfung der restlichen 156 Seiten als eine Übung für Sie lieber Leser - Hausaufgaben, wenn man so will. NIST begrüßt Stellungnahme zum Entwurf des SP800-16 bis zum 26. Juni 2009 per E-Mail an 800-16comments@nist.gov.

Mit freundlichen Grüßen,
Gary Hinson
NoticeBored




Mehr ...