The UNIX and Linux Forums  

Go Back   El UNIX y Linux Foros > Especial Foros > Seguridad > Seguridad RSS
The folly of annual "awareness training" Anual de la locura de "sensibilización"
.
google unix.com

Foros Registro Reglas de los ForosEnlacesÁlbumes Preguntas más frecuentes Lista de miembros Calendario Búsqueda Puestos de hoy Marcar Foros Como Leídos


Más UNIX y Linux Foro Temas usted puede encontrar útiles
Hilo Hilo para principiantes Foro Respuestas Último mensaje
Desarrollo de Prensa: Casa de la Moneda de Linux 4.0 Beta "Fluxbox", 4.0 alfa "Debian" iBOT UNIX y Linux Noticias RSS 0 01-04-2008 03:00 PM
Explicar la línea "mn_code \u003d` env | grep ".. minutos" | awk-F "\u003d" '(print $ 2)' `" Lokesha UNIX for Dummies Preguntas y Respuestas 4 12-20-2007 01:52 AM
"aprender" de formación para Solaris Unix. ultra0384 Sun Solaris 0 10-19-2006 12:41 AM
No utpmx entrada: debe exec "login" de nivel más bajo "shell" peterpan UNIX for Dummies Preguntas y Respuestas 0 01-18-2006 04:15 AM

Reply
English Japanese Spanish French German Portuguese Italian Dutch Swedish Russian Norwegian Hungarian Hebrew Danish Bulgarian Greek Powered by Powered by Google
 
Linkback vínculo Herramientas de hilo Buscar en este Hilo Tasa de Hilo Modos de visualización
  #1 (Enlace permanente)  
Old 06-18-2009
iBot's Avatar
iBOT iBot is offline
Foro Chica Robot
  
 

Fecha: Sep 2000
Posts: 22.258
Anual de la locura de "sensibilización"
Hord Tipton se cita en una pieza en lugar de Curt GovInfoSecurity refiriéndose a la "Necesidad de facilitar la capacitación los empleados federales con más frecuencia que una vez al año a causa de los siempre cambiantes desafíos que presenta la seguridad de las tecnologías". Derecho a la Hord! me doy cuenta de que estoy citando a un pequeño extracto de una breve pieza sobre una rueda de prensa entrevista, pero todavía hay mucho más que la declaración implica Hord. Espero que usted me perdone una corta pero apasionada despotricar ...

1. No sólo los empleados federales que necesiten más de una vez al año de formación. Lo mismo se aplica a todos, incluyendo a los empleados (funcionarios, gestores, profesionales de TI, temporales, contratistas, consultores, auditores ...), estudiantes, jubilados y otros miembros ordinarios del público en general. Y sí, incluso CISSPs. Una vez al año una sesión de capacitación de manera cae por debajo de lo que cualquier profesional racional llamaría Educación Profesional Continua.

2. ¿Qué es la "sensibilización" de todos modos? En mi experiencia, es doble para la gestión de una conferencia en las tropas - la emisión, tal vez un sermón, pero casi siempre tedioso, aburrido y peor que eso, molesta a todos los interesados. Gestión de llegar a pico en el lugar de trabajo acerca de lo que ellos debe y no debe hacer. Ellos determinarán el derecho corporativo, por lo general con amenazas implícitas o explícitas de thrash el mensaje. Esas sesiones tomar tiempo fuera de worklives ocupado, y asisten en virtud de sufrimiento (no porque el público realmente quiere ir a lo largo y aprender nuevas cosas, sino porque se les dice en términos inequívocos que "sólo hay que ir"). presumido inocente o administradores de marcar la casilla que dice que el cumplimiento de "la conciencia de seguridad - hecho" y avanzar en 'cosas más importantes ". En realidad , lo que estoy hablando no es ni la conciencia ni la formación. Se trata de un intento de lavado de cerebro de aficionados. Se muestra una sorprendente falta de creatividad y comprensión de la psicología humana. La única motivación que consigue es alentar a los funcionarios (y, apuesto, algunos directores ) para encontrar maneras de eludir los futuros períodos de sesiones.

3. TI efectivamente presente siempre cambiantes desafíos, pero también lo hace la organización, su actividad empresarial, comercial y normativo, la gente, el cumplimiento de las obligaciones, las consecuencias del fracaso, los piratas informáticos, el malware, los delincuentes, los competidores , los compañeros, los socios ... Ah y, por cierto, no es sólo una cuestión de seguridad informática. La seguridad de la información en la toma las cosas obvias, como las conversaciones indiscretas y al cese de documentos sensibles en el transporte público, pero más sutil que se refiere a la protección de los activos de información, es decir, el contenido de la información, la sentido, los conocimientos, los conocimientos y la experiencia - que va mucho más allá de los datos o la información.

Seguramente ahora todos estamos de saber períodos de sesiones anuales de sensibilización, simplemente no funcionan. Es muy difícil no meter grandes agujeros en el concepto, pero ¿por qué este ridículo "anual de sensibilización" que se niegan a establecer y morir? Dudo seriamente que cualquier CISSP sostienen que someter a los empleados a una " período de sesiones de capacitación en conciencia "(sea lo que podría ser) se va a lograr nada beneficioso pasado las primeras semanas, días, horas o minutos, y menos aún persisten hasta el próximo período de sesiones. ¿Le permite a alguien a conducir un automóvil sobre la base de un "la conciencia de formación de conducción período de sesiones" una vez al año? ¿Estaría feliz de no enmascarar el rostro y el lugar más valioso de su patrimonio personal en manos de un cirujano que realizó una "sesión de entrenamiento de cirugía conciencia" hace casi un año? Es totalmente nueces, sin embargo, se sigue como un zombi temido regreso de la tumba de manera insistente.

Lo que más me preocupa es que la mera repetición de la frase (que agradezco, irónicamente, es exactamente lo que estoy haciendo ahora) "anual de sesiones de capacitación en materia de seguridad" promueve el mito de que eso es lo que se entiende por concienciación sobre la seguridad y / o capacitación en materia de seguridad, que son de hecho muy distintas ideas. Peor aún, ya que todos saber que estos son los períodos de sesiones anuales y un valor insoportable pérdida de tiempo, implica que tanto la conciencia de seguridad y la seguridad son también de formación y valor insufrible. Doh! Esto es un ejemplo clásico de tirar el bebé con el agua del baño.

Pensemos por un segundo la moderna aeronave y su piloto. La cabina está relleno completo de las más increíbles técnicas wizzardry, diseñado para hacer volar como segura, rentable y, en general, más agradable posible para todos los involucrados, una gran parte de ellas destinadas a hacer el piloto del trabajo más simple y más fácil que nunca ... sin embargo, no deje que nadie acaba de sentarse en el asiento caliente y vuela a Barbados. Pilotos realizar intensos cursos de formación sobre el terreno, incluso antes de tomar a los cielos y, a continuación, se requiere que el reloj tantas horas de vuelo antes de la experiencia que se le conceda el privilegio de convertirse en un piloto calificado - y sí es un privilegio que conlleva una gran responsabilidad. Ellos tienen más en el trabajo de capacitación y simulador de vuelo para completar los ejercicios, y evaluaciones periódicas para mantenerlos al día con las últimas tecnologías, las reglas de vuelo y así sucesivamente, a lo largo de sus carreras. Se reúnen y conversan con otros pilotos, teniendo un interés en los nuevos riesgos y oportunidades de volar. Desarrollan una muy personal la pasión o el amor por lo que hacen. Ellos conseguirlo.

Bien, ahora cambiar de escenas a la media de las empresas "usuario final" (sin duda un término peyorativo, pero muy apto en este contexto) - en gran medida carentes, casi siempre sin reservas y, sin embargo, allí sentados en el banquillo de jugar con las empresas y activos de información personal con apenas un pensamiento en cuanto a su protección o seguridad. El PC no es más que una herramienta para él, una que pertenece a la sociedad el mal que le hace el trabajo para ganarse la vida. ¿Nos sorprende que no se que a todos, incluso después de uno de los terribles "anuales de sensibilización en las sesiones de formación"?

Derecho, las escenas de nuevo para cambiar el clásico geek hacker, todos los tatuajes y piercings y negro Hoody - libre capacitados, informados, comprometidos y sí intensa pasión por lo que hace, con un profundo respeto y fascinación por la tecnología. Su PC es una forma de arte , nada de alegría, incluso un altar. Él habita un universo paralelo al usuario final. Cuando el usuario final-el hombre llama a trabajar a las 5pm y traipses dejectedly casa, la última cosa que quiere hacer es "sentarse en frente de la sangrienta PC toda la noche ", mientras que eso es exactamente lo geek-hacker más disfruta. Una vez que los bytes de inicio de vuelo, las endorfinas se liberan antes y él lo sabe, es el amanecer y el tiempo para prepararse para el trabajo.

En cuanto a la seguridad informática, es una lucha muy desleal. En la esquina azul, el usuario final el hombre sólo quiere hacer su trabajo y tienen una vida fácil. En la esquina roja, geek hacker quiere su propio b0x, y dispone de las herramientas, experiencia y la motivación para hacerlo (y en estos días, alguien le quiere pagar mucho dinero para hacerlo por él). Mientras tanto, el pobre viejo gestor de seguridad que a su mejor Gee hasta el usuario final-el hombre de la margen, pero sabe que no hay va a ser una bonita final.

Bueno tal vez he estirado demasiado en serio que la analogía y la parodia tomado demasiado lejos, pero realmente lo que estoy recibiendo es que al usuario final-el hombre necesita desesperadamente efectiva la seguridad de la información de sensibilización y formación a:

  • Le informará acerca de los riesgos de seguridad de la información lo que le rodea, en términos que él pueda relacionarse;
  • Le muestran el modo de reconocer y hacer frente a esos riesgos, en términos pragmáticos que pueden utilizar;
  • Le dará las habilidades y herramientas para hacer cosas con seguridad, y el sentido de informar cosas que evidentemente no es derecho;
  • Motivar a tomar un interés en la protección de la sociedad de la información y activos de su propio;
  • Recordarle de sus obligaciones, en el sentido de responsabilidad y rendición de cuentas hacia comportarse con seguridad;
  • Luz que la chispa de la pasión, que el interés y el sentimiento de control sobre su propio destino, que le permitirá llevar la lucha a la otra esquina. A menos que lleguemos a esta etapa, y constently repetiblemente, "sensibilización" está condenado. que nunca crear una cultura de seguridad gritando abajo empleados earholes una vez al año.
Eso es todo, relajarse, despotricar más. Ahora es tu turno. ¿Qué crees?




Más información ...
Reply

Marcadores

« Reflexiones en torno a la Iniciativa de Seguridad Cibernética Nacional | Peligro Oculto en una nube de computación »
Herramientas de hilo Buscar en este Hilo
Buscar en este Hilo:

Búsqueda avanzada
Modos de visualización Vota a este hilo
Hybrid Mode Modo híbrido
Vota a este hilo:

Normas de envío
puede que no nuevo puesto de hilos
puede que no enviar respuestas
puede que no enviar archivos adjuntos
puede que no editar sus puestos
Código BB es Encendido
Emoticones son Encendido
[IMG] código Encendido
Código HTML es Apagado
Trackbacks son Encendido
Pingbacks son Encendido
Refbacks son Encendido



Todas las horas son GMT -4. La hora es 09:28 PM.

The UNIX and Linux Forums - Learn UNIX and UNIX Commands RSS Feeds -- Contáctenos -- El UNIX y Linux Foros - Aprenda los comandos UNIX y UNIX -- Archivo -- Superior

Powered by: vBulletin, Copyright © 2000 - 2006, Jelsoft Enterprises Limited. Traducciones de idiomas Powered by .
vBCredits v1.4 Copyright © 2007 - 2008, PixelFX Estudios
El UNIX y Linux Foros Contenido Copyright © 1993-2009. Todos los derechos Reserved.Ad Gestión por RedTyger

Las direcciones URL de contenido vBSEO 3.2.0