Már olvasás és gondolkodás ma körülbelül egy felülvizsgált NIST Special Publication SP800-16, Jelenleg kiadott nyilvános comment. Ha valóban érdekelt abban, hogy a biztonsági tudatosságot hatékonyabb, azt ajánlom, félretéve egy órát, vagy három-olvasni, és megvizsgálja a dokumentum tervezetét.

Köszörül, hogy az étvágyat, itt csak néhány rövid bekezdésben egyik szakasza a tervezet, a saját gondolatait, észrevételeit az alábbiakban idézett.

Szakasza értelmében 2.2.1 SP800-16, NIST mondja:

"A tudatosság nem a képzés (1). Biztonság tudatosság egy kevert megoldás tevékenységeket (2) elősegítő biztonság, a felelősség megállapítása, és tájékoztatja a dolgozók biztonsági hírek (3). Tudatosság kívánja összpontosítani figyelmét az egyén egy kérdésről vagy kérdéskör (4). Az előadások célja a tudatosság egyszerűen a középpontba a biztonság (4). tudatosság előadások célja, hogy lehetővé tegyék az egyének felismerik informatikai biztonság problémáit és megfelelő reagálást. (2)

A tudatosság erősítésére irányuló tevékenységek a tanuló a címzett az információk, míg a tanuló az adott oktatási környezet aktívabb szerepet. (2) A tudatosság elérése támaszkodik széles közönséget vonzó a csomagolási technikákat. A képzés, hivatalos, amelynek célja az épület ismeretek és készségek hogy elősegítsék a teljesítményt. (5)

Néhány példa: az informatikai biztonság tudatosságot anyagok / tevékenységek a következők:
• Események, például az informatikai biztonság napi
• tájékoztatók (program-vagy rendszer-specifikus, vagy probléma-specifikus)
• Promóciós / speciális csecsebecséjük a motivációs szlogenek,
• A biztonsági emlékeztető banner számítógép monitor, amely akkor gyullad ki, amikor egy felhasználó bejelentkezik, a
• A biztonsági tudatosság videokazetták, valamint
• poszterek és szórólapok. (6)

Az információk hatékony biztonsági tudatosságot erőfeszítéseket kell tervezni a felismerés, hogy az emberek hajlamosak a gyakorlatba tuning-out nevezett folyamat acclimation. Ha egy inger, amely eredetileg egy figyelem-getter, ismételten alkalmazzák, a tanuló majd szelektíven figyelmen kívül hagyja az inger. (6) �gy, a tudatosság szállítási kell a folyamatos, kreatív és motivációs, azzal a céllal, összpontosítva a tanuló figyelmét, hogy a tanulás kell építeni tudatos döntéshozatalt. Ez az úgynevezett asszimilációs, egy folyamat, melynek során az egyén új tapasztalatait foglalja a már meglévő viselkedés mintát. (3 & 5) A

Tanulást egy olyan egyszeri tevékenység tudatosság inkább a rövid távú, közvetlen és egyedi. Például, ha a tanulás célja ", hogy megkönnyítsék a megnövekedett használata hatékony a jelszavas védelmet a munkavállalók körében," egy figyelemfelkeltő tevékenységet lehet a matricák használatára emlékeztető számítógépes billentyűzetet. (7)

Alapvető értékét: az informatikai biztonság tudatosságot programokat az, hogy elő a terepet a képzés és a tudatosság szerep-alapú képzés előidézésére hogy megváltozzon hozzáállásuk, amely meg kell kezdeni változtatni a szervezeti kultúrát. A kulturális változás kérték (8) az a felismerés, hogy az információs biztonság kérdése, mert a kritikus biztonsági hiba a potenciálisan káros következményekkel jár mindenki számára. Ezért az információs biztonság mindenki feladata. (9) "

Az általam írt hozzászólások:

(1) A "tudatosság", "képzés" és az "oktatás" gyakran használják szinonimaként, és időnként, mint a "tudatosító képzés". �k azonban a különböző tevékenységek különböző mechanizmusok és célokra. SP800-50 "épület információs technológiai biztonsági tudatosság és Képzési Program" tartalmazza ezt a pontot, hanem ékesszólóan, jobb, mint a tény, SP800-16, amely FISMA nyakkendő magukat csomó felett a terminológiát.

(2) Ha el tudja olvasni a korábban sokat bántalmazott második szó a "kevert megoldás tevékenység", az igazi lényeg az, hogy a tudatosság megköveteli egy sor különálló, de egymást kiegészítő tevékenységek - és a "tevékenység" Úgy értem a dolgokat, hogy az magában foglalja a fizikai tevékenységek mindkét az információ és az információ givers vásárolniuk. Én beszélek aktív tanulás, nem passzív szórakozás, vagy "edutainment". A legfontosabb része a képzés nem a prezentációs diák vagy egyéb anyagokat, a műsorvezető, a létesítmény vagy a közönség: ez az elkötelezettség, a kamat-és interakció történik, amikor a közönség tagjai válnak ihletett gondolkodni, majd változtassa meg, hogy mit meg kell ismételni. Actions hangosabb, mint a szavak.

(3) az emberek tájékoztatása, más szavakkal is releváns tényeket, információkat a biztonsági kockázatok és az ellenőrzés fontos eleme a tudatosság, a képzés és az oktatás, de önmagában nem elegendő, a legtöbb esetben. Nagytudású, de unalmas és száraz adatlapokat, és csak csekély hatással lehet célravezető. Hírekre is csak egy módszer arra, hogy az információs biztonság az életet, emlékeztetve az emberek, hogy mi nem beszélünk tisztán hipotetikusan a biztonsági incidenseket. �k tényleg történik körülöttünk, és nem csak kint a híreket, de sokkal közelebb van otthon, és hatással van hozzánk, kollégák, barátok és családok, és természetesen szervezet és a társadalomra. Kezd személyes információs biztonsági kérdésekben van egy jó módja annak, hogy vegyenek részt az emberekkel.

(4) Focus is fontos. �ltalános, bland "sokkal biztonságosabb" üzenet egy hulladék teljes agyi ciklusokat. Embereknek tudniuk kell, mit, pontosabban kellene aggódni, és mit kell csinálni ... de először azt kell nyitni annak érdekében, hogy akkor is megkapja az üzenetet. Making emberek "kelj fel, és a kávé illata" az egyik lehetőség, de nem az egyetlen módja (fogok beszélni, más technikákat egy másik időpontban). Focus, nekem is egyre egyenesen a lényeg -, hogy a közvetlen és elkerüljék a felesleges pehely, vagy lényegtelen. Ugyancsak ide tartozik a szedés konkrét informatikai biztonsági témák, feltéve, hogy mélyebben, mint a jellemző az említett rohant biztonsági bevezető képzés osztályok.

(5) Építési ismeretek és készségek erősítése munkahelyi teljesítményüket az egész nagyon jól, de keveset érnek, ha az emberek valójában használ a tudást és készségeket, ha kap vissza dolgozni. E cél elérésének kritikus pontja a hatékony figyelemfelkeltő, képzési és oktatási tevékenységek. Kivéve, ha az emberek vesznek azon a ponton túl, hogy a puszta tények és tartályok motiváltak a viselkedik biztonságosabban, A program nem fog keresni, hogy tartsa meg.

(6) Figyeljük meg, hogy "a munkavállalók arra kényszerítve, hogy üljön le tömegesen a fülledt tárgyalóteremben, vagy színházi előadást, míg néhány unalmas geek vagy clueless vezetője masszírozó odébb információbiztonság" nem szerepel NIST a listát érdemes tevékenységeket, de nem áll messze az igazság egyes szervezetek! Tudatosság, oktatás és képzés veszi a kreativitás és a szenvedély. Ez nem olyan nehéz igazán.

(7) Figyelembe fókusz, amennyiben egyetlen tudatosító tevékenységet, amely csak egy egységes információs biztonsági ellenőrzés talán szükség lehet, ha egy kontroll, hogy nem feltűnően, de valószínűtlennek tűnik, hogy fedezze a teljes szélességét biztonsági ellenőrzéseket kell értenie, hogy a munkavállalók és a tekintetben, minden ésszerű időn belül. Tengelykapcsoló e pont észrevétele van tartva a tartalom érdekes, azt jelenti számomra annak szükségességét, hogy elég gyorsan fut egy sorozata témák, halad vagy közvetlenül mielőtt az a pont, hogy a szemhéjak kezdenek elhervad. Ez az elképzelés egy gördülő program tudatosság, az én tapasztalatom, teszi a különbség, de van még egy kis pontot szem előtt tartani. "Sorozatok" lehet véletlenszerű vagy irányított. Véletlenszerű választék az informatikai biztonság témakörökben lehet elérni kívánt lefedettség, de hiányolja a lehetőséget, amely összeköti az egymást követő témák egy koherensebb biztonsági történet. Mivel okos kapcsolatos sorrendje és a témák köre vezet finomabb formája a régi tanár látta "Mondd meg nekik, mit fog mondani nekik, mondd meg nekik, akkor mondd el nekik, mit mondtam nekik." We can be jövő témákat, és utalja vissza az előző témákat, mind pedig a szállító jelen témát. Az egymással való informatikai biztonsági témák teszi ezt meglehetősen könnyű elérni csak egy kicsit a gondolkodás és tervezés. A megoldás előnye a nemzetközi összetartást, és meg kell erősíteni, hogy a véletlenszerű választékot nem tudják teljesíteni.

(8) Most van egy gondolat: keresünk "kulturális változás" vagyunk? Nagy ötlet, én egy teljesen támogatja ... de sajnos sok vezetők, a biztonsági tudatosság elérése kevesebbet, mint a kulturális változás körülbelül ", hogy láttam, hogy csinál valamit", vagy ami még rosszabb, "csináljuk való megfelelés miatt." Egészségügyi és biztonsági képzésre találja magát, ugyanabban a pácban. Hatékony H & S képzés tartós hatást, amit a munkavállalók tesznek, amit akarnak járni a rendes üzleti tevékenység, jóval azután, nem száradt a tinta a képzés értékelési formák. Arról van szó, az elhelyezés Fültokok és védőszemüveg még akkor is, ha ott senki más nem keres. Azt jelenti, egy pillanat ahhoz, hogy egy veszélyes utazás egy nyilvános átjárás még akkor is, ha te magad egyértelműen észrevette, és kerüli a veszélyt. Megvalósítása kulturális változás, hogy hozzon létre egy "biztonsági kultúra" egy csodálatos cél, hogy egy sokkal könnyebb mondani, mint megtenni. Számomra ez kissé túl megy a meglehetősen leegyszerűsítő elképzeléseket megjegyezte, ha a 2.2.1, kezébe fogalmak, mint például:

• A folytonosságot biztosító - tervezési tudatosság tevékenységek hosszú távon (és én do nem jelenti, hogy "a jövÅ‘ évi menetrendi biztonsági tudatosságot session '!);
• Foglalkozik az egész szervezetre (alkalmazottak és vezetÅ‘k), sÅ‘t hasznosan hatálya kiterjed a kibÅ‘vített szervezet, beleértve a barátok és rokonok a munkavállalók, vállalkozók / tanácsadók, kiszervezik a szállítók, vevÅ‘k, szállítók, üzleti partnerek, az egyéb érdekelt felek, és bizonyos mértékig a társadalom szélesebb
• Segítségével kreativitás létrehozása érdekében, és vegyenek részt az emberek a programot, és fenntartva, hogy a kamat a végtelenségig;
• Mivel érzékeny a kulturális normák, kommunikációs preferenciák és így tovább a közönség - nyilatkozat a többes szám: nincs sok értelme, hogy összpontosítson az összes biztonsági tudatosságot tevékenységek az egyik homogén közönség, amikor nagyon jól tudják, hogy az üzleti egységek, osztályok, csoportok és egyéni eltéréseket mutat sok fontos ponton. "Koncertjegy" a szerzÅ‘i jog betartását, mondjuk, egy indiai vagy kínai üzleti egység olyan meglehetÅ‘sen eltérÅ‘ a kilátások egyre ugyanazon a ponton keresztül egy skandináv szervezet. Egyes emberek, a 3 perces magas szintű áttekintést több mint elegendÅ‘: a többiek számára, 3 perc nem lenne elég kevés a legrövidebb bevitele;
• Figyelembe közönség elkötelezettség mértékében közönség aktív részvételével, például ösztönzÅ‘ vezetÅ‘k, informatikai szakemberek és a munkavállalók beszélgetni az azonos informatikai biztonsági témáról, amivel saját nézÅ‘pontját keretében közös értelmezését olyan kifejezések és fogalmak szó.

(9) Ha az "információs biztonság mindenki feladata", akkor kellene mindenkinek munkaköri leírások - nem is rossz ötlet közül, de úgy érzem itt egy kicsit rá. "Az információs biztonság mindenki felelősségét" úgy, hogy egy lépéssel tovább, mivel nem csupán a munkához kapcsolódó dolog, és tanácsok az alapvető biztonsági koncepció, hogy a tulajdonjog, az elszámoltathatóság és a felelősség. "Informatikai biztonság az, amit csinálnak" talán kissé túlzott, de én inkább a "mi"-ben van, mivel ez egyértelműen közös felelősség. [Vitatkozni az adott szó és részletgazdag minden szó íze van az őrült kialakításának folyamata vállalati küldetés. A vitának azonban legalább ha nem is értékesebb, mint a termék, sokkal inkább, mint a tervezés és a tervek. Megbeszélése ilyen biztonsági alapelveket vezet a közös megértés és a jó módja annak, hogy vegyenek részt felső vezetők a tudatosság program.]

Igaz, ez 2.2.1 megfelelően figyelembe vesznek. Majd megáll ott most, így figyelembe véve a fennmaradó 156 oldal, mint gyakorolni az Ön számára kedves olvasó - házi feladat, ha úgy tetszik. NIST üdvözli véleményét a tervezettel kapcsolatban SP800-16-ig 26 június 2009 e-mailben a 800-16comments@nist.gov.

Kind regards,
Gary Hinson
NoticeBored




Tovább ...