Hord Tipton est cité dans un communiqué plutôt laconique sur le morceau GovInfoSecurity se référant à la "Nécessité de fournir une formation de sensibilisation des employés fédéraux plus souvent qu'une fois par année, en raison de l'évolution présente des défis de sécurité." Droit à la Hord! je me rends compte, je suis en citant un petit extrait d'un court texte sur un point de presse interview, mais il ya beaucoup plus à ce que la déclaration de Hord implique. J'espère que vous me pardonner une brève mais passionnée rant ...

1. Il ne s'agit pas seulement les employés fédéraux qui ont besoin de plus d'une fois par année de formation. La même chose s'applique à tout le monde, y compris les employés (personnel, les gestionnaires, les professionnels de l'informatique, temps, les entrepreneurs, les consultants, les auditeurs ...), les étudiants, les retraités et d'autres membres ordinaires du grand public. Et oui, même CISSPs. Une fois par an session de formation s'inscrit manière à ce que tous les professionnels appellent rationnelle la formation professionnelle continue.

2. Qu'entend-on par «une formation de sensibilisation" de toute façon? Dans mon expérience, c'est le double pour la gestion d'une conférence à la troupe - une émission, un sermon peut-être, mais presque toujours ennuyeuse, terne et pire que cela, gênant pour tous les intéressés. Aller à la gestion bec de descendre à la main-d'œuvre de ce que ils devrait et ne devrait pas faire. Ils déterminent le droit des sociétés, le plus souvent avec des menaces implicites ou explicites de thrash le message d'accueil. Ces sessions de prendre le temps occupé worklives, et y ont participé en vertu d'attente (non pas parce que les spectateurs veulent aller le long et apprendre de nouvelles choses, mais parce qu'on leur dit en termes clairs qu'ils "suffit d'aller"). prétentieux ou naïf gestionnaires respect de cocher la case qui dit que «la sensibilisation à la sécurité - faire" et passer à "des choses plus importantes". En réalité, , ce dont je parle n'est ni sensibilisation, ni formation. Il s'agit d'une tentative de lavage de cerveau amateur. Elle montre un étonnant manque de créativité et de la compréhension de la psychologie humaine. La seule motivation, il est atteint à encourager le personnel (et je parie que, certains gestionnaires ) afin de trouver les moyens de se soustraire à de futures sessions.

3. En effet, il présente des défis sans cesse en évolution, mais aussi l'organisme, ses activités, l'environnement réglementaire et commercial, les gens, le respect des obligations, les conséquences de l'échec, les hackers, les logiciels malveillants, les criminels, les concurrents , les pairs, les partenaires ... Oh, et, par la manière, il n'est pas juste une question de la sécurité des TI. Sécurité de l'information se manifeste dans les choses telles que les conversations indiscrètes et en laissant des documents sensibles sur le transport public, mais plus subtilement, il porte sur la protection de l'information des actifs, ce qui signifie que le contenu de l'information, la sens, les connaissances, l'expertise et l'expérience - qui va bien au-delà des données ou l'information.

Certes, aujourd'hui nous sommes tous savoir annuel des séances de sensibilisation ne fonctionnent tout simplement pas. Il est vraiment difficile de ne pas se mêler des trous gigantesques dans le concept, mais pourquoi est-ce ridicule "annuelle de sensibilisation" chose refuser de fixer et de mourir? Je doute tout CISSP sérieusement soutenir que les employés de soumettre à une " session de formation à la sensibilisation "(quelle qu'elle soit) est en cours pour parvenir à quoi que ce soit bénéfique passé les quelques premières semaines, jours, heures ou minutes, et encore moins persister jusqu'à la prochaine session. Voulez-vous permettre à quelqu'un de conduire une voiture sur la base d'un "la conduite des formations de sensibilisation session" une fois par an? Seriez-vous heureux d'enfiler le masque et le lieu de votre plus précieux des biens personnels dans les mains d'un chirurgien qui fait une "chirurgie de sensibilisation session de formation", il ya près d'un an? C'est totalement noix, mais il tient à venir comme un terrible retour de zombies de la tombe de nous hanter.

Ce qui me préoccupe le plus, c'est que le simple fait de répéter la phrase (qui je suis, paradoxalement, c'est exactement ce que je suis en train de faire) "annuelle de sensibilisation à la sécurité des sessions de formation" favorise le mythe que c'est ce que l'on entend par la sensibilisation à la sécurité et / ou de formation à la sécurité, qui sont en fait des idées tout à fait distinctes. Pire encore, puisque nous avons tous savoir que ces réunions annuelles sont une valeur et insupportable gaspillage de temps, cela implique que la sensibilisation à la sécurité et de formation à la sécurité sont aussi inutiles et insupportables. Doh! C'est un exemple classique de jeter le bébé avec l'eau du bain.

Envisager une seconde, l'avion moderne et de son pilote. Le poste de pilotage est en peluche plein de la plus étonnante technique wizzardry, destinée à faire voler comme sûrs, efficaces et généralement plus agréable possible pour toutes les parties concernées, une grande partie d'entre elles visent à rendre le pilote du travail plus simple et plus facile que jamais ... Pourtant, nous ne laissons pas tout le monde assis dans la sellette et la mouche de la Barbade. entreprendre des projets pilotes de formation intense sur le terrain avant même de prendre le ciel, puis sont tenus de l'horloge de nombreuses heures de vol avant d'obtenir le privilège de devenir un pilote qualifié - et oui c'est un privilège qui porte une lourde responsabilité. Ils ont en outre sur la formation et des exercices pour simulateur de vol complet, et régulièrement des évaluations pour les tenir à jour avec les dernières technologies, les règles de vol à et ainsi de suite, tout au long de leur carrière. Ils se rencontrent et de converser avec d'autres pilotes, de prendre un intérêt dans de nouveaux risques et les possibilités de vol. Ils développent une passion ou d'amour pour ce qu'ils font. Ils obtenir.

OK, passer des scènes à la moyenne entreprise "utilisateur final" (sûrement un terme péjoratif, mais tout à fait approprié dans ce contexte) - en grande partie non, presque toujours sans réserve et encore assis sur la sellette en jouant avec des entreprises et des renseignements personnels à des actifs peu une réflexion quant à leur protection ou de sécurité. Le PC est uniquement un outil pour lui, celui qui appartient à la société qui fait de mal à travailler pour vivre. Sommes-nous surpris qu'ils ne comprennent pas du tout, même juste après l'une des ces terribles "annuelle de sensibilisation des sessions de formation»?

A droite, des scènes de nouveau passer à la classique geek hacker, tous les tatouages et les piercings et noir à capuche - auto-formés, bien informés, engagés et passionnés par oui intensément ce qu'il fait, avec un profond respect et de fascination pour la technologie. Le PC est une forme d'art , une chose de la joie, l'autel même. Il vit dans un univers parallèle à l'utilisateur final. Lorsque l'utilisateur final, l'homme frappe un arrêt de travail à 5pm et traipses dejectedly maison, la dernière chose qu'il veut faire, c'est de "s'asseoir en face de la sanglante PC toute la nuit ", alors que c'est exactement ce que geek-hacker bénéficie le plus. Une fois le départ octets battant, les endorphines sont libérées avant et il le sait, c'est l'aube et le temps de vous préparer pour le travail.

En termes de sécurité informatique, il est gravement injuste combat. Dans le coin bleu, l'utilisateur final l'homme veut seulement faire son travail et avoir une vie facile. Dans le coin rouge, geek hacker veut son propre b0x, et possède les outils, l'expertise et la motivation à l'obtenir (et de ces jours, quelqu'un veut lui verser l'argent sérieux de le faire pour lui). Pendant ce temps, le pauvre vieux gestionnaire de la sécurité fait de son mieux pour gee jusqu'à l'utilisateur final, l'homme de la marge, mais il sait pas va être une belle fin.

Eh bien alors, j'ai sérieusement à rude épreuve cette analogie et pris la parodie trop loin, mais ce que je suis vraiment, c'est que l'utilisateur final-man a désespérément besoin de efficace de sécurité de l'information de sensibilisation et de formation à:

• Informer sur les risques de sécurité de l'information autour de lui, en termes, il peut concerner;
• Montrez-lui les moyens de reconnaître et de s'attaquer à ces risques, en termes pratiques, il peut effectivement utiliser;
• Donnez-lui les compétences et les outils pour faire stuff sécurité et le sentiment de faire rapport choses n'est manifestement pas droit;
• Motiver à prendre un intérêt dans la protection à la fois la société de l'information et de ses propres actifs;
• De lui rappeler ses obligations, le sens de responsabilité et de responsabilité envers un comportement sécuritaire;
• Light cette étincelle de la passion, que l'intérêt et le sentiment de contrôle sur son propre destin, qui va lui permettre de prendre la lutte à l'autre coin. Tant que nous arrivons à ce stade, constently et repeatably ", une formation de sensibilisation" est vouée à l'échec. Nous ne la création d'une culture de sécurité en criant le bas des employés earholes une fois par an.

That's it, se détendre, de fulminer. Maintenant c'est votre tour. Qu'est-ce que tu think?




Plus d'informations ...