J'ai fait la lecture et de pensée aujourd'hui d'une révisé NIST Special Publication SP800-16, Qui est actuellement publié pour commentaires du public. Si vous êtes vraiment intéressés à faire de sensibilisation à la sécurité plus efficace, je recommande de mettre de côté une heure ou trois heures à lire et à examiner le projet de document.

Pour vous mettre en appétit, voici seulement quelques paragraphes d'une section du projet, avec mes propres pensées et les commentaires cités ci-dessous.

En vertu de l'article 2.2.1 du SP800-16, NIST a écrit:

"La sensibilisation ne fait pas de formation (1). Sensibilisation à la sécurité est un mélange de solution d'activités (2) que la promotion de la sécurité, d'établir la responsabilité, et d'informer le personnel de sécurité de nouvelles (3). Sensibilisation vise à concentrer l'attention d'un individu sur une question ou un série de questions (4). L'objectif de sensibilisation est tout simplement d'attirer l'attention sur la sécurité (4). exposés de sensibilisation sont destinées à permettre aux individus de reconnaître les préoccupations de sécurité de l'information et de réagir en conséquence. (2)

Dans les activités de sensibilisation de l'apprenant est un bénéficiaire de l'information, alors que l'apprenant dans un environnement de formation a un rôle plus actif. (2) la sensibilisation s'appuie sur la réalisation large public avec des emballages attrayants techniques. La formation est plus formelle, avec un objectif de renforcement des connaissances et des compétences afin de faciliter le rendement au travail. (5)

Voici quelques exemples d'information de sensibilisation à la sécurité des matières et activités comprennent:
• Événements, comme un jour de sécurité de l'information,
• Réunions d'information (programme ou système, ou une question spécifique)
• Promotion / spécialité bibelots avec des slogans de motivation,
• Un rappel de la bannière de sécurité sur les écrans d'ordinateur, qui se heurte quand un utilisateur se connecte,
• Sécurité des cassettes vidéo de sensibilisation, et
• Des affiches ou de dépliants. (6)

Efficace de l'information de sensibilisation à la sécurité des efforts doivent être conçues avec la reconnaissance du fait que les gens ont tendance à pratiquer un tuning-processus appelé acclimatation. Si un stimulus, l'origine, d'une attention fonceur, est utilisé à maintes reprises, l'apprenant sera sélective ignorer le stimulus. (6) Ainsi, la prise de conscience de livraison doit être en cours, de la créativité et de motivation, avec l'objectif de concentrer l'attention de l'apprenant de sorte que l'apprentissage sera intégrée dans la prise de décision consciente. C'est ce qu'on appelle l'assimilation, un processus par lequel un individu intègre de nouvelles expériences dans un modèle de conduite. (3 & 5)

L'apprentissage réalisé par le biais d'une unique activité de sensibilisation a tendance à être à court terme, immédiates et précises. Par exemple, si un objectif d'apprentissage est de "faciliter l'utilisation accrue de la protection par mot de passe efficace entre les employés,« une activité de sensibilisation pourrait être l'utilisation de rappel des autocollants pour les claviers d'ordinateur. (7)

La valeur fondamentale de la sécurité de l'information des programmes de sensibilisation est qu'ils fixent la phase de sensibilisation et de formation est basé sur le rôle de la formation portant sur un changement d'attitude qui devrait commencer à changer la culture organisationnelle. Le changement de culture recherché (8) est le fait que la sécurité de l'information est cruciale, car un défaut de sécurité a des conséquences néfastes pour tout le monde. Par conséquent, les informations de sécurité d'emploi est l'affaire de tous. (9) "

Mes commentaires:

(1) Les termes «conscience», «formation» et «éducation» sont souvent utilisés de façon interchangeable, et parfois combinées, comme dans "une formation de sensibilisation". Toutefois, elles sont différentes activités avec les différents mécanismes et les buts. SP800-50 "Construire une sensibilisation à la sécurité des technologies de l'information et de formation" couvre ce point avec éloquence plutôt, de mieux en fait que SP800-16 et FISMA qui lient eux-mêmes en noeuds sur la terminologie.

(2) Si vous pouvez lire le passé, beaucoup d'abus deuxième mot de la «solution mixte d'activités", le véritable point est que la conscience a besoin d'un éventail d'activités distinctes mais complémentaires - et par «activités», j'entends des choses qui impliquent à la fois par des actions physiques l'information des donneurs et récepteurs de l'information. Je parle de l'apprentissage actif, et non passive ou de divertissement "edutainment". La partie la plus importante d'un cours de formation n'est pas la présentation de diapositives ou d'autres matériaux, le présentateur, l'installation ou de l'audience: c'est l'engagement, l'intérêt et l'interaction qui se produit lorsque les membres de l'auditoire se inspiré à réfléchir et à changer ensuite ce qu'ils faire par la suite. Les actions sont plus éloquents que les mots.

(3) Informer les gens, en d'autres termes à fournir des faits sur la sécurité de l'information des risques et des contrôles, est un élément important de la sensibilisation, de formation et d'éducation, mais n'est pas suffisante en elle-même, dans la plupart des cas. Erudite mais ennuyeux et sec fiches ont un impact limité et peut être contre. Nouvelles histoires ne sont qu'un moyen de mettre la sécurité de l'information à la vie, à rappeler aux gens que nous ne parlons pas uniquement sur l'hypothèse d'incidents de sécurité. Ils se passe réellement autour de nous, et pas seulement là-bas, dans l'actualité, mais beaucoup plus près de nous, qui nous touche, nos collègues, amis et familles, et bien sûr de notre organisation et de la société. Obtenir des informations personnelles sur les questions de sécurité est un bon moyen d'engager avec les gens.

(4) Focus est important. Générique, fade "est plus sûr" les messages sont un gaspillage de cerveaux cycles. Les gens ont besoin de savoir ce qui, précisément, ils devraient être inquiets et ce qu'ils doivent faire ... mais d'abord ils ont besoin de s'ouvrir afin de recevoir le même message. Making people "se réveiller et sentir le café" est une option mais ce n'est pas le seul moyen (je vais parler d'autres techniques d'un autre temps). Bref, pour moi, se comprend à l'essentiel - d'être direct et en évitant les flocons ou irrelevancies. Il comprend également la cueillette des informations spécifiques sur les questions de sécurité, en fournissant plus de profondeur que ce qui est typique de ceux qui se sont précipités sécurité formation de classes.

(5) Développement des connaissances et des compétences afin d'améliorer le rendement au travail est très bien mais il a peu de valeur si les gens utiliser les connaissances et les compétences quand ils se remettre au travail. La réalisation de cet objectif est au cœur de l'efficacité, de la formation et des activités éducatives. A moins que les personnes sont prises au-delà du point d'être de simples réceptacles pour des faits et sont motivés à un comportement plus sécuritaire, Le programme ne va pas gagner sa garde.

(6) Notez que "forcer les employés à s'asseoir en masse dans une salle de réunion ou stuffy amphithéâtre tandis que certains ennuyeux IT manager clueless geek ou becs de sécurité de l'information à propos de" ne figure pas dans la liste des NIST utile, mais n'est pas loin de la vérité dans certaines organisations! Sensibilisation, formation et éducation de prendre la créativité et la passion. Il n'est pas difficile en fait.

(7) Prise de concentrer la mesure d'une activité de sensibilisation portant sur un seul contrôle de la sécurité de l'information peut-être nécessaire que si un contrôle est manifestement défaut, mais il semble peu probable à couvrir la totalité des contrôles de sécurité que les employés doivent comprendre et respecter, dans tout délai raisonnable. Couplage de ce point avec les commentaires sur le maintien du contenu intéressant pour moi implique la nécessité de lancer très rapidement grâce à une série de sujets, à aller de l'avant ou juste avant le point que les paupières commencent à tomber. Cette idée d'un programme de sensibilisation de roulement, d'après mon expérience, fait toute la différence, mais il ya un peu plus de point à garder à l'esprit. "Séquences" peut être aléatoire ou dirigé. Un assortiment aléatoire de sécurité de l'information des sujets mai atteindre la couverture souhaitée mais rate l'occasion de relier les thèmes successifs dans une histoire plus cohérente de sécurité. Etre intelligent sur le déroulement et la portée des sujets conduit à une forme plus subtile de l'ancien enseignant a «Dites-leur ce que vous allez leur dire, dis-leur, puis dites-leur ce que vous leur avez dit." Nous pouvons introduire de futurs sujets et renvoient à des sujets précédents, tout en fournissant le sujet. L'interdépendance de la sécurité de l'information rend cette sujets assez facile à atteindre avec un peu de réflexion et de planification. L'avantage est un niveau de cohérence et le renforcement des assortiments aléatoire que ne permettent pas d'atteindre.

(8) Maintenant, il ya une idée: nous sommes à la recherche "changement culturel" sommes-nous? Excellente idée, un ... Je suis tout à fait approuver mais malheureusement pour beaucoup de managers, de sensibilisation à la sécurité est moins de réaliser un changement culturel que sur "être vu à faire quelque chose» ou, pire encore, "le fait pour des raisons de conformité". Santé et formation en matière de sécurité se trouve dans la même pickle. Effective H & S la formation a un impact durable sur ce que les employés ne sont dans leurs activités normales, longtemps après que l'encre a séché sur la formation des formulaires d'évaluation. Il s'agit de la mise sur le cache-oreilles et des lunettes de sécurité même quand il n'y a personne d'autre ne cherche. Cela veut dire prendre un moment pour faire face aux dangers d'un voyage dans une voie publique même lorsque vous l'avez clairement repéré et éviter le danger. Réaliser un changement culturel afin de créer une «culture de sécurité» est un magnifique objectif, qui est beaucoup plus facile à dire qu'à faire. Pour moi, il va un peu au-delà de l'simpliste si important de noter des idées dans la section 2.2.1, à ramasser des concepts tels que:

• En assurant la continuité - la planification des activités de sensibilisation sur le long terme (et je ne sont pas signifie «la programmation de l'année prochaine session de sensibilisation à la sécurité»!);
• Aborder l'ensemble de l'organisation (personnel et cadres), en fait, le champ d'application peut utilement couvrir l'étendue organisation, y compris des amis et des parents des employés, des entrepreneurs et consultants, sous-traiter les fournisseurs, clients, fournisseurs, partenaires d'affaires, d'autres parties prenantes, et, dans une certaine mesure, de la société grand
• Utilisation de la créativité pour susciter l'intérêt et les gens avec le programme, et que l'intérêt de conserver indéfiniment;
• Être sensible aux normes culturelles, les préférences commerciales et ainsi de suite pour le public - Avis au pluriel: il est peu logique de concentrer toutes les activités de sensibilisation à la sécurité sur un public homogène, alors que nous savons très bien que les unités d'affaires, les départements, les équipes et les individus varient sensiblement dans de nombreux égards. "Vendre" le respect du droit d'auteur, par exemple à un Indien ou d'affaires chinois est un peu différent, afin de faire la même chose à travers une organisation scandinave. Pour certaines personnes, les 3 minute aperçu de haut niveau est plus que suffisant: pour les autres, à 3 minutes ne serait pas assez pour la brève introduction;
• Prenant l'engagement public dans la mesure active de la participation de l'auditoire, par exemple en encourageant les gestionnaires, les professionnels et les employés de converser sur le même sujet de sécurité de l'information, en mettant leurs points de vue dans le contexte d'une compréhension partagée des termes et des concepts.

(9) Si l'information de sécurité d'emploi est l'affaire de tous ", il devrait être dans toutes les descriptions d'emploi - pas une mauvaise idée en soi, mais je pense qu'il ya un peu plus à lui. "La sécurité de l'information est la responsabilité de tous", il prend un peu plus loin, car il n'est pas purement une chose liée à l'emploi, et des conseils à un concept de sécurité vital, celui de l'appropriation, de responsabilisation et de responsabilité. "La sécurité de l'information, c'est ce que nous faisons" peut-être un peu excessif, mais je préfère le mot «nous» dans la mesure où il ya clairement une responsabilité partagée. [Faisant valoir sur le sens et les nuances de chaque mot-goût de la folie de processus de développement de l'entreprise de mission. Cependant, la discussion est au moins sinon plus de valeur que le produit, un peu comme la planification et de plans. Discuter de ces principes de sécurité conduit à une compréhension commune et est un bon moyen d'engager avec les hauts responsables du programme de sensibilisation.]

A droite, c'est la section 2.2.1 dûment prises en compte. Je vais m'arrêter là pour aujourd'hui, en laissant le reste de l'examen de 156 pages comme un exercice pour vous, chers lecteurs - la maison si vous voulez. NIST se félicite des observations sur le projet SP800-16 jusqu'au 26ème Juin 2009 par email à 800-16comments@nist.gov.

Kind regards,
Gary Hinson
NoticeBored




Plus d'informations ...