He estado leyendo y pensando hoy acerca de un revisado Publicación Especial NIST SP800-16, Actualmente en libertad para comentarios del público. Si están realmente interesados en la toma de conciencia en materia de seguridad más eficaz, recomiendo reservar una o tres horas a leer y examinar el proyecto de documento.

Para interesa a su apetito, son sólo unos breves párrafos de una sección del proyecto, con mis propios pensamientos y comentarios citados a continuación.

En la sección 2.2.1 del SP800-16, NIST dice:

"Conciencia de formación no es (1). Seguridad de la conciencia es una solución mezcla de actividades (2) que promuevan la seguridad, establecer la rendición de cuentas, e informar a la plantilla de seguridad de noticias (3). Conciencia busca centrar la atención de una persona sobre un tema o una conjunto de cuestiones (4). El propósito de la conciencia es simplemente presentaciones a centrar la atención en materia de seguridad (4). Conciencia presentaciones están destinadas a permitir que las personas a reconocer las preocupaciones de seguridad de la información y responder en consecuencia. (2)

Actividades de sensibilización en el alumno es un receptor de información, mientras que el alumno en un entorno de formación tiene un papel más activo. (2) se basa en la conciencia de llegar al público amplio, con atractivas técnicas de embalaje. La formación es más formal, con un objetivo de construir conocimientos y habilidades para facilitar el desempeño laboral. (5)

Algunos ejemplos de seguridad de la información, materiales de sensibilización y actividades incluyen:
• Eventos, tales como la seguridad de la información un día,
• Reuniones informativas (programa o sistema-específica o sobre temas específicos)
• Promocional / especialidad baratijas con lemas de motivación,
• Un recordatorio de seguridad banner en la pantalla del ordenador, que aparece cuando un usuario inicia sesión,
• Seguridad de sensibilización cintas de vídeo, y
• carteles o folletos. (6)

Eficaz los esfuerzos de sensibilización de seguridad de la información deben ser diseñados con el reconocimiento de que la gente tiende a la práctica un proceso de ajuste-llamado aclimatación. Si un estímulo, una atención inicialmente-getter, se utiliza en repetidas ocasiones, el alumno será selectiva ignorar el estímulo. (6) Así pues, la conciencia de entrega debe ser en curso, creativo y de motivación, con el objetivo de centrar la atención del alumno a fin de que el aprendizaje se incorporará a la toma de decisiones conscientes. Esto se conoce como la asimilación, un proceso por el cual una persona incorpora nuevas experiencias en un patrón de conducta. (3 y 5)

El aprendizaje logrado a través de una única actividad de la conciencia tiende a ser a corto plazo, inmediata y específica. Por ejemplo, si un objetivo de aprendizaje es "facilitar el aumento de la utilización eficaz de la protección de contraseña entre los empleados," una actividad de sensibilización puede ser el uso de adhesivos recordatorio para los teclados. (7)

El valor fundamental de los programas de sensibilización sobre la seguridad de la información es que el escenario para la sensibilización y el papel de la formación basada en el logro de un cambio de actitud que debería comenzar a cambiar la cultura organizacional. Solicita el cambio cultural (8) es la constatación de que la seguridad de la información es fundamental, porque un fallo de seguridad puede tener consecuencias negativas para todos. Por lo tanto, la seguridad de la información es el trabajo de todo el mundo. (9) "

Mis comentarios:

(1) Los términos "conciencia", "formación" y "educación" se usan indistintamente y, a veces combinadas, como en "la sensibilización". Sin embargo, son diferentes actividades con diferentes mecanismos y efectos. SP800-50 "Construcción de una Tecnología de la Información de Seguridad Programa de Sensibilización y Capacitación" se refiere a este punto y no de manera elocuente, mejor, de hecho, que SP800-16 y que FISMA empate en nudos sobre la terminología.

(2) Si usted puede leer mucho más allá de la segunda palabra de abusos de la "mezcla de actividades de solución", la verdadera cuestión es que la conciencia requiere de una serie de actividades distintas pero complementarias - y por "actividades" me refiero a cosas que implican acciones físicas por ambas dadores de la información y los receptores de la información. Estoy hablando de aprendizaje activo, no pasivo de entretenimiento o "edutenimiento". La parte más importante de un curso de formación no es la presentación de diapositivas y otros materiales, el presentador, la instalación o el público: es el compromiso, el interés y la interacción que ocurre cuando los miembros de la audiencia se sienten inspirados a pensar en cambiar y, a continuación, lo que hacer después. Las acciones son más elocuentes que las palabras.

(3) Informar a los ciudadanos, en otras palabras, proporcionar datos pertinentes sobre los riesgos de seguridad de la información y los controles, es un elemento importante de la sensibilización, la formación y la educación, pero no es en sí suficiente, en la mayoría de los casos. Erudito, pero aburrido y seco fichas tener un impacto limitado y puede ser contraproducente. Las noticias son sólo una manera de traer la seguridad de la información a la vida, recordando a la gente que no se trata puramente hipotéticamente acerca de incidentes de seguridad. Son realmente pasa a nuestro alrededor, y no sólo allá en el de titulares de noticias, pero mucho más cerca de casa, que nos afectan, nuestros colegas, amigos y familias y, por supuesto, nuestra organización y de la sociedad. Obtención de información personal sobre cuestiones de seguridad es una buena manera de entablar con la gente.

(4) El enfoque es importante. Genérico, anodino "más segura", los mensajes son un total desperdicio de cerebros ciclos. La gente necesita saber qué, específicamente, se les debe y preocupados por lo que deben hacer ... pero primero tienen que abrir incluso el fin de recibir el mensaje. Haciendo que la gente "despierta y huele el café" es una opción pero no es la única manera (voy a hablar de otras técnicas de otro tiempo). Enfoque, para mí, incluye recta hasta el punto - que directa y evitar el gasto innecesario o pelusa irrelevancies. También incluye la recolección de información específica sobre temas de seguridad, con más profundidad que es típico de los de seguridad se apresuraron capacitación clases.

(5) Creación de conocimientos y habilidades para mejorar el rendimiento en el trabajo está muy bien pero tiene poco valor a menos que la gente realmente usar los conocimientos y aptitudes cuando volverán al trabajo. Conseguir esto es el quid de la efectiva toma de conciencia, formación y actividades educativas. A menos que las personas se toman más allá del punto de ser meros receptáculos de los hechos y están motivados para se comportan de forma más segura, El programa no va a ganar su conservar.

(6) Observe que "obligar a los trabajadores a sentarse en masa en stuffy una sala de reuniones o aula, mientras que algunos de TI aburrido geek o surtidores fuera gerente idea acerca de la seguridad de la información" no figura en la lista de NIST actividades que vale la pena, pero no está lejos de la verdad en algunas organizaciones! Sensibilización, la formación y la educación tengan la creatividad y pasión. No es tan difícil realmente.

(7) Teniendo centrarse en la medida de una única actividad de sensibilización que abarcan un único control de seguridad de la información tal vez sea necesario en caso de que el control es un defecto de forma, pero parece poco probable que cubren todo el ancho de los controles de seguridad que los empleados deben entender y respetar, en cualquier periodo de tiempo razonable. Este punto de enganche con comentarios acerca de mantener el contenido interesante para mí implica la necesidad de ejecutar con bastante rapidez a través de una secuencia de temas, avanzar en o antes del punto que los párpados comienzan a colgar. Esta idea de un programa de concienciación de rodadura, en mi experiencia, hace toda la diferencia, pero hay un poco más el punto a tener en cuenta. "Secuencias" puede ser al azar o dirigido. Se seleccionará al azar una variedad de temas de seguridad de la información puede lograr la cobertura deseada, pero se pierde la oportunidad de unir los sucesivos temas en una historia más coherente de seguridad. Ser inteligentes acerca de la secuencia y el alcance de los temas que lleva a una forma más sutil de los antiguos maestros vieron "Diles lo que vas a decir a ellos, dicen ellos, a continuación, les cuenten lo que les dije". Podemos introducir temas futuros y referirse a temas anteriores, todos los presentes al tiempo que proporciona el tema. La interrelación de los temas de seguridad de la información hace que este muy fácil de lograr con un poco de pensamiento y la planificación. La ventaja es un nivel de coherencia y refuerzo al azar que no logran surtidos.

(8) Ahora hay un pensamiento: que estamos buscando "cambio cultural" somos? Gran idea, un fondo que apoye ... pero desafortunadamente para muchos administradores, la seguridad es menor conciencia acerca de la consecución de un cambio cultural que acerca de "ser visto a estar haciendo algo" o, peor aún, "es lo que para el cumplimiento de razones". La salud y la formación en materia de seguridad se encuentra en el mismo vinagre. Eficaz la formación de H & S tiene un impacto duradero en lo que los empleados hacer lo que dedicarse a sus actividades comerciales normales, mucho después de que la tinta se haya secado sobre la formas de evaluación de la capacitación. Se trata de poner en la oreja manguitos y gafas protectoras incluso cuando no hay nadie mirando. Esto significa tomar un momento para hacer frente a los peligros de un viaje en la vía pública aun cuando usted mismo ha manchado claramente y evitar el peligro. Lograr el cambio cultural para crear una "cultura de la seguridad" es un fabuloso objetivo, que es mucho más fácil de decir que de hacer. Para mí, algo que va más allá de la simple si no ideas importantes se señala en la sección 2.2.1, recogiendo conceptos tales como:

• Dando continuidad - la planificación de actividades de sensibilización a largo plazo (y yo no significa "la programación del año próximo período de sesiones de concienciación sobre la seguridad ');
• Hacer frente a toda la organización (personal y los administradores), de hecho, el alcance puede ser muy útil cubrir la ampliación de la organización incluidos los amigos y familiares de empleados, contratistas y consultores, subcontratar proveedores, clientes, proveedores, socios empresariales y otras partes interesadas, y, en cierta medida, la sociedad en general
• Usando la creatividad para crear interés y comprometer a la gente con el programa, y mantener ese interés indefinidamente;
• Ser sensible a las normas culturales, las preferencias de las comunicaciones y así sucesivamente para el público - Aviso plural: no tiene sentido centrar todas las actividades de sensibilización sobre la seguridad homogéneo una audiencia, cuando sabemos muy bien que las unidades de negocio, departamentos, equipos e individuos varían notablemente en muchos aspectos clave. "Vender" el cumplimiento de los derechos de autor, por ejemplo, un indio o chino es una unidad de negocio muy diferentes perspectivas para obtener el mismo punto a través de una organización escandinava. Para algunas personas, los 3 minutos de alto nivel panorama es más que suficiente: para otros, a 3 minutos casi no sería suficiente para que la breve de introducción;
• Teniendo el compromiso público en la medida de la activa participación de la audiencia, por ejemplo el fomento de los gestores, los profesionales de TI y los empleados a conversar sobre el mismo tema de la seguridad de la información, poniendo sus respectivos puntos de vista en el contexto de un entendimiento común de los términos y conceptos involucrados.

(9) En caso de "la seguridad de la información es el trabajo de todos", debería ser en las descripciones de todos - no es una mala idea en sí misma, pero creo hay un poco más a él. "La seguridad de la información es responsabilidad de todos" tiene en sí un paso más allá, ya que no es solamente una cosa relacionada con el trabajo, y alude a un concepto de seguridad vital, que de la propiedad, la rendición de cuentas y responsabilidad. "La seguridad de la información es lo que hacemos" podría ser un poco excesivo, pero yo prefiero la palabra "nosotros" allí, ya que es claramente una responsabilidad compartida. [Discutir sobre el significado y los matices de cada palabra el tono de locura proceso de elaboración de declaraciones de misión corporativa. Sin embargo, el debate es por lo menos si no es más valiosa que el producto, y no como la planificación y planes. Hablar de esos principios de seguridad lleva a un entendimiento común y es una buena manera de entablar con el personal directivo superior de sensibilización del programa.]

Derecho, que la sección 2.2.1 debidamente considerados. Voy a parar allí por ahora, dejando a consideración de los restantes 156 páginas como un ejercicio para usted querido lector - si la tarea. NIST da la bienvenida a comentarios sobre el proyecto de SP800-16 hasta el 26 de junio 2009 por correo electrónico a 800-16comments@nist.gov.

Saludos cordiales,
Gary Hinson
NoticeBored




Más información ...