Hord Tipton is idézett egy meglehetősen rövid darabja a GovInfoSecurity utalva a "szükséges, hogy a szövetségi alkalmazottak képzése tudatosság gyakrabban, mint egyszer egy évben, mert a folyamatosan változó informatikai biztonsági kihívásokat jelent." Right-on Hord! tudom, én vagyok idézni egy kis kivonat egy rövid darab egy sajtó interjú, de még mindig ott van még sokkal több, mint Hord nyilatkozatát magában. Remélem, megbocsát nekem egy rövid, de szenvedélyes hanta ...

1. Ez nem csak a szövetségi alkalmazott, aki több mint egy-egy éves képzésben. Ugyanez vonatkozik mindenkire, beleértve a munkavállalók (munkatársak, vezetők, informatikai szakemberek, temps, vállalkozók, tanácsadók, könyvvizsgálók ...), a diákok, a nyugdíjasok és más rendes tagjai a nagyközönség számára. És igen, még CISSPs. egyszer egy éves képzés tartozik a rövid utat, amit minden ésszerű szakmai lenne Continuous Professional Education.

2. Mi az a "tudatosító képzés" anyway? Tapasztalataim szerint, ez a kezelési doublespeak egy előadás a csapatok - a sugárzás, a prédikáció talán, de szinte mindig fárasztó, unalmas, és ami még rosszabb, mint, hogy idegesítő, hogy minden érintett számára. Management eljutni kiöntő ki a munkaerőt, hogy mi ők kell és nem szabad csinálni. meghatározzák a társasági jog, általában a hallgatólagos vagy kifejezett fenyegető dobálja az üzenet haza. ülés ilyen hosszú időt vesz igénybe a forgalmas worklives, és részt vett a szenvedést (nem azért, mert a közönség valóban szeretne menni mentén, és új dolgokat tanulni, hanem azért, mert azt mondják, nem bizonytalan feltételek mellett, hogy "csak azt, hogy"). beképzeltek vagy naív vezetők jelölje, hogy azt mondja, hogy a doboz "biztonsági tudatosság - Kész" és mozgasd át "nagyon fontos dolog." Valójában , amirõl beszélünk, nem a tudatosság, sem képzésben. Ez egy amatőr próbálkozás az agymosás. Azt mutatja meg, hogy egy csodálatos hiányzik a kreativitás és a megértés az emberi pszichológia. Az egyetlen motivációja, hogy eléri az, hogy ösztönözzék a személyzet (és lefogadom, egyes vezetők ), hogy megtalálják a módját, hogy elkerüljék a jövőbeli ülésein.

3. A valóban jelen folyamatosan változó kihívásokkal, de így is működik a szervezet, az üzleti, a kereskedelmi és a szabályozási környezet, az emberek, a kötelezettségeket, a kudarc következményeit, a hackerek, a rosszindulatú programok, a bűnözők, a versenytársak A szakértők bevonásával, a partnerek ... Ja, és az úton, nem csak egy kérdés, az informatikai biztonság. Információs biztonság veszi a nyilvánvaló dolgok, mint például indiszkrét beszélgetést és így az érzékeny dokumentumokat a tömegközlekedés, de finoman érinti információk védelmére eszközök, vagyis az információk tartalma, a értelmében, a tudás, a szakértelem és tapasztalat - ami így túl adatokat vagy IT.

Bizonyára már mindannyian tud tudatosság éves ülés egyszerűen nem működik. Ezt igazán nem nehéz piszkálni óriás lyuk fogalmát, de miért ez a nevetséges "éves tudatosság" dolog megtagadni, hogy meghatározzák és meghalni? Kétlem bármely CISSP komolyan azt alávetése alkalmazottak egy " tudatosság képzés "(bármi legyen is) nem fog elérni semmit jótékony múltban az első néhány hét, nap, óra vagy perc alatt, nemhogy megmaradnak, amíg a jövő évi ülésén. Tudna valaki lehetővé teszi, hogy autót vezetni alapján az "vezetői tudatosság képzés" évente egyszer? Nem lehet, hogy nem örül a álarccal és helye a legértékesebb személyes vagyonát a kezét egy orvos, aki részt vett a "műtétet tudatosság képzés" közel egy évvel ezelőtt? Ez teljesen dió, mégis folyton jön ki, mint egy zombi rettegett vissza a sírból kísérteni minket.

Ami engem leginkább az, hogy csak ismétli a mondatot (ami Értékelem, ironikus, hogy pontosan mit csinál most) "éves biztonsági tudatosság képzések" folytatja a hiedelem, hogy ez mit is jelent a biztonsági tudatosság és / vagy biztonsági képzésre, amely ugyanis meglehetősen különbözik ötleteket. Ami még rosszabb, hiszen az összes tud hogy ezeket az éves ülés egy értéktelen és tűrhetetlen idõpocsékolás, ez azt jelenti, hogy a biztonsági tudatosság és a biztonsági képzést is értéktelen és tűrhetetlen. Doh! Ez egy klasszikus példája throwing a baba ki a fürdővízzel.

Fontolja meg a második a modern légi jármű és a pilóta. A pilótafülke tele van töltve az elképesztő technikai wizzardry, amelynek célja, hogy a repülés biztonságos, költséghatékony és általában kellemes lehet, hogy minden érintett, a nagy része is a célja, hogy A kísérleti munkája egyszerűbb és könnyebb, mint valaha ... Még nem hagyja csak akárki ül a forró ülés és légy velünk Barbados. Pilóták vállalják intenzív tanfolyamok a földre, mielőtt még figyelembe, hogy az ég, és akkor van szükség, hogy ilyen sok órát repült óra tapasztalattal mielőtt megadta a kiváltság válás a képzett pilóta - Igen, és ez a kiváltság, hogy folytatja a nagy felelősséget. Vannak továbbá a munkahelyi képzés és a repülés szimulátort, hogy gyakorolja, és rendszeresen ellenőrizzék őket, hogy naprakészek legyenek a legújabb technológiák, a repülési szabályok és így tovább, egész pályát. Ezeket találkozzanak és beszélgessenek más pilóták, érdeklődjön az új kockázatokat és lehetőségeket, a repülés. dolgozzanak ki egy nagyon személyes szenvedély vagy a szerelem, amit csinálnak. Ezek get it.

Oké, most kapcsoljuk jelenetek az átlagos vállalati "end user" (biztosan a becsmérlő kifejezés, de meglehetősen apt ebben) - nagyrészt képzetlen, majdnem mindig képzetlen és még ült a forró ülés játszanak a vállalati és személyes információk eszközök alig a gondolat, hogy a védelem vagy a biztonság. A PC csak egy eszköz ahhoz, hogy őt, aki tartozik a rossz társaság, ami neki dolgozni a megélhetésért. Hát meglepett, hogy nem értem egyáltalán, akkor is, miután az egyik ezek a rettenetes "éves figyelemfelkeltő képzések?

Jobb, switch jelenetek ismét a klasszikus geek hacker minden tetoválás és piercingek és fekete hoody - self képzett, tapasztalt, elkötelezett és igen intenzíven, szenvedélyesen, hogy mit csinál, a lenyűgöző és mély tiszteletét a technológiát. A számítógép művészeti forma , egy dolog az öröm, az oltár is. Ő él egy párhuzamos univerzumban a végfogyasztókra. Amikor végfelhasználói ember ki kopogtat munkáért 5 és traipses búsan haza, az utolsó dolog, amit akar a "üljön elé a Véres PC egész éjszaka ", mivel ez pontosan mit geek-hacker élvezi leginkább. bytes start után a repülés, az endorphin kiadása előtt tudja meg, hogy hajnalban és ideje, hogy készen áll a munkára.

A számítógépes biztonsági szempontból, hogy ez egy súlyosan méltánytalan harcolni. A kék sarokban, végfelhasználói férfi csak azt akarja, hogy a munkáját, és könnyű életet. A vörös sarokban, geek hacker akar ő maga b0x, és az eszközöket, szaktudás és a motiváció, hogy ez (és az ezekben a napokban, valaki meg akarja fizetni neki komoly pénzt csinálni vele). Közben a szegény öreg biztonsági vezetője nem a legjobb gee fel végfelhasználói ember az oldalvonalon, de tudja, nincs lesz egy szép befejezés.

Hát talán már komolyan túl szűkös, és figyelembe véve, hogy hasonlóan a paródia túl messzire, de amit én igazán kilyukadni, hogy a végfelhasználó-man égető szükségletek hatékony informatikai biztonsági tudatosság és képzés:

• Tájékoztatja az informatikai biztonsági kockázatok körülnézett, ami azt is vonatkoznak;
• Mutasd meg neki, hogyan kell felismerni és kezelni azokat a kockázatokat, és gyakorlati szempontból tudja használni;
• Add meg neki a készségek és eszközök nem biztonságos dolog, és az értelemben, hogy jelentést dolgot, ami nyilvánvalóan nem igaz;
• Motiválja el érdeklődni védelmében mind a társasági információs eszközök és a saját;
• Emlékeztesse rá a kötelezettségei, vagyis az elszámoltathatóság és a felelősség felé biztonságosan viselkedik;
• Fény szikra szenvedély, hogy a kamat-és érzés ellenőrzést saját sorsukat, hogy lehetővé teszi számára, hogy tegye meg a harcot a másik sarokban. Végéig, kivéve, ha kapunk erre a szintre constently és repeatably "tudatosság képzés" van ítélve. Sose hozzon létre egy biztonsági kultúra kiabáltak le a munkavállalók earholes évente egyszer.

Ennyi, nyugi, kárálást át. Most te jössz. Mit ön gondolsz?




Tovább ...