Sono stato la lettura e la riflessione di oggi su un rivisto NIST Special Publication SP800-16, Rilasciato al momento del pubblico per eventuali osservazioni. Se siete veramente interessati a rendere più efficace la consapevolezza di sicurezza, le consigliamo di annullare uno o tre ore a leggere e prendere in considerazione il progetto di documento.

Per stuzzicare il vostro appetito, qui sono solo pochi punti da una sezione del progetto, con i miei pensieri e commenti citati qui di seguito.

Nella sezione 2.2.1 della SP800-16, NIST dice:

"La consapevolezza non è la formazione (1). Consapevolezza di sicurezza è una miscela di soluzione di attività (2) che promuovono la sicurezza, stabilire la responsabilità, e di informare il personale di sicurezza notizie (3). Sensibilizzazione mira a concentrare l'attenzione di un individuo su un tema o di una serie di questioni (4). Lo scopo di sensibilizzare le presentazioni è semplicemente quello di focalizzare l'attenzione sulla sicurezza (4). consapevolezza presentazioni sono destinati a consentire alle persone di riconoscere le informazioni di sicurezza e di rispondere di conseguenza. (2)

In attività di sensibilizzazione lo studente è un destinatario di informazioni, mentre lo studente in un ambiente di formazione ha un ruolo più attivo. (2) si basa sulla consapevolezza di raggiungere un ampio pubblico con interessanti tecniche di confezionamento. La formazione è più formale, con un obiettivo di costruzione di conoscenze e competenze per agevolare le prestazioni di posti di lavoro. (5)

Alcuni esempi di informazioni di sicurezza di sensibilizzazione materiali / attività comprendono:
• Eventi, come ad esempio un giorno la sicurezza delle informazioni,
• Notizie in breve (programma o di un sistema specifico problema o specifica)
• Promozionale / specialità bigiotteria con slogan motivazionali,
• Un banner sulla sicurezza promemoria schermi di computer, che si apre quando un utente accede al sistema,
• Sicurezza di sensibilizzazione videocassette, e
• Manifesti e volantini. (6)

Efficaci di sensibilizzazione e di informazione di sicurezza devono essere progettati con il riconoscimento che le persone tendono a praticare uno tuning-out chiamato processo di acclimatazione. Se uno stimolo, inizialmente, di un attenzione Getter, viene utilizzato più volte, lo studente sarà selettivo ignorare lo stimolo. (6) Pertanto, la consapevolezza di consegna deve essere in corso, creativo, e motivazionale, con l'obiettivo di focalizzare l'attenzione del discente in modo che l'apprendimento saranno incorporati nel processo decisionale consapevole. Questo è chiamato di assimilazione, un processo mediante il quale un individuo incorpora nuove esperienze esistenti in un modello di comportamento. (3 e 5)

Apprendimento raggiunto attraverso una singola attività di sensibilizzazione tende ad essere a breve termine, immediato e specifico. Ad esempio, se un obiettivo di apprendimento è quello di "facilitare il maggiore uso di password di protezione efficaci tra i dipendenti, una" attività di sensibilizzazione potrebbe essere l'uso di adesivi promemoria tastiere per computer. (7)

Il valore fondamentale della sicurezza delle informazioni è la consapevolezza che i programmi impostare la fase di sensibilizzazione e di formazione basata su ruoli di formazione da realizzare un cambiamento di atteggiamenti che dovrebbero iniziare a cambiare la cultura organizzativa. Il cambiamento culturale ha raccolto (8) è la realizzazione che la sicurezza delle informazioni è fondamentale, perché ha mancato di sicurezza potenzialmente conseguenze negative per tutti. Pertanto, le informazioni di sicurezza di tutti è di posti di lavoro. (9) "

I miei commenti:

(1) I termini "coscienza", "formazione" e "istruzione" sono spesso usati in modo intercambiabile e talvolta combinati, come in "azioni di sensibilizzazione e formazione". Tuttavia, esse sono diverse le attività con vari meccanismi e le finalità. SP800-50 "Costruire uno Tecnologia di sicurezza del programma di formazione e sensibilizzazione" copre questo punto piuttosto eloquente, meglio in fatto di SP800-16 e FISMA che vincolano in nodi oltre la terminologia.

(2) Se si è in grado di leggere il passato molto abusato della seconda parola di "blended soluzione di attività", il vero punto è che richiede la consapevolezza di una serie di attività distinte ma complementari - e da "attività" Voglio dire le cose che comportano azioni fisiche da entrambe le le informazioni e le informazioni datori ricevitori. Sto parlando di apprendimento attivo, non passiva, di intrattenimento o di "edutainment". La parte più importante di un corso di formazione non è la presentazione diapositive o altri materiali, il presentatore, l'impianto o il pubblico: è l'impegno, l'interesse e l'interazione che avviene quando i membri del pubblico diventare ispirato a pensare e quindi modificare ciò che fare in seguito. Le azioni sono più eloquenti delle parole.

(3) L'informazione dei cittadini, in altre parole i fatti rilevanti fornendo informazioni circa i rischi per la sicurezza e dei controlli, è un elemento importante di sensibilizzazione, formazione e istruzione, ma non è di per sé sufficiente, nella maggior parte dei casi. Erudito, ma noiosa e asciutto schede hanno un impatto limitato e può essere controproducente. Notizie storie sono solo un modo per portare le informazioni di sicurezza per la vita, ricordando che le persone non stiamo parlando puramente ipotetico circa gli incidenti di sicurezza. Esse sono realmente accadendo intorno a noi, e non solo Out There in titoli di notizie, ma molto più vicino a casa, che riguardano noi, i nostri colleghi, amici e famiglie, e naturalmente la nostra organizzazione e della società. Ottenere informazioni personali su questioni di sicurezza è un buon modo per entrare in contatto con le persone.

(4) messa a fuoco è importante. Generico, blando "più sicuro" messaggi sono un totale spreco di cicli di cervello. La gente ha bisogno di sapere che cosa, in particolare, essi dovrebbero essere preoccupati e cosa devono fare ... ma prima di cui hanno bisogno per aprire anche al fine di ricevere il messaggio. Rendere le persone "svegliarsi e sentire il profumo del caffè" è una possibilità, ma non è l'unico modo (io parlo di altre tecniche di un altro tempo). Focus, per me, comprende sempre dritto, fino al punto - essere diretto e di evitare inutili o fluff irrelevancies. Esso comprende anche la raccolta di informazioni specifiche su argomenti di sicurezza, fornendo maggiori profondità rispetto a quella tipica di questi si precipitò sicurezza induzione corsi di formazione.

(5) Costruire le conoscenze e le competenze per migliorare la prestazione lavorativa è tutto molto bene, ma ha poco valore a meno che le persone effettivamente utilizzo le conoscenze e le competenze quando si torna al lavoro. Il raggiungimento di questo è il nocciolo di una efficace sensibilizzazione, formazione e attività educative. A meno che le persone vengono prese al di là del punto di semplici contenitori per fatti e sono motivati a comportamento più sicuro, Il programma non è andare a guadagnare il suo mantenere.

(6) Si noti che "costringe i dipendenti a sedersi in massa stuffy in una sala riunioni o conferenze teatro mentre alcuni noioso IT geek o clueless manager becchi fuori circa la sicurezza delle informazioni" non in funzione del NIST utile elenco di attività, ma non è molto lontana da la verità in alcune organizzazioni! Sensibilizzazione, formazione e istruzione prendere la creatività e la passione. Non è difficile davvero.

(7) Assunzione di concentrarsi nella misura di una singola attività di sensibilizzazione che copre solo un unico controllo di sicurezza potrebbe essere necessario che se uno è cospicuamente in mancanza di controllo, ma sembra improbabile a coprire tutta la gamma di controlli di sicurezza che i lavoratori devono comprendere e rispettare, nel qualsiasi lasso di tempo ragionevole. Questo punto di accoppiamento con commenti sul mantenere il contenuto interessante per me implica la necessità di eseguire molto rapidamente attraverso una sequenza di argomenti, lo spostamento in avanti o poco prima che il punto di inizio per le palpebre droop. Questa idea di un programma di sensibilizzazione a rotazione, nella mia esperienza, fa la differenza, ma c'è un po 'di più il punto da tenere a mente. "Sequenze" può essere casuale o diretto. Un assortimento casuale temi della sicurezza delle informazioni può ottenere la copertura desiderata, ma manca la possibilità di collegare insieme successivi argomenti in modo più coerente di sicurezza storia. Essere intelligenti circa la sequenza e la portata dei temi conduce ad una forma più sottile del vecchio insegnante vide "Dite loro quello che si sta per dire loro, dire loro, poi dire loro quello che ha detto loro". Siamo in grado di introdurre argomenti futuro e rinviare a precedenti argomenti, il tutto mentre la consegna del presente argomento. Il interrelatedness temi della sicurezza delle informazioni rende questo molto facile da raggiungere con un po 'di pensiero e di pianificazione. Il vantaggio è un livello di coerenza e di rinforzo casuale assortimenti che non realizzano.

(8) ora c'è un pensiero: siamo in cerca di "cambiamento culturale" siamo? Grande idea, quello che ho accuratamente approvare ... ma purtroppo per molti dirigenti, la sicurezza è minore consapevolezza circa la realizzazione di un cambiamento culturale di "essere visto da fare qualcosa" o, peggio ancora, "questo è il rispetto per motivi". Salute e sicurezza, si trova nella stessa salamoia. H & S efficace di formazione ha un impatto duraturo sul cosa fare, come i dipendenti vanno le loro normali attività, molto tempo dopo l'inchiostro si è asciugata sulla formazione forme di valutazione. Si tratta di mettere l'orecchio sul manicotti e occhiali di sicurezza anche quando non c'è nessun altro in cerca. Ciò significa che un momento di affrontare un viaggio in un pericolo pubblico arteria anche quando lei ha chiaramente individuato ed evitare il pericolo. Il raggiungimento di un cambiamento culturale per creare una "cultura della sicurezza" è un obiettivo favoloso, uno che è molto più facile da dire che da fare. Per me, va un po 'al di là del semplicistico se importante idee osservato al punto 2.2.1, raccogliendo concetti quali:

• Garantire la continuità - pianificare le attività di sensibilizzazione a lungo termine (e io non significa 'la programmazione del prossimo anno la consapevolezza della sicurezza sessione'!);
• Affrontare l'intera organizzazione (personale e dirigenti), in realtà la portata può utilmente copertura estesa organizzazione compresi amici e parenti di lavoratori dipendenti, imprenditori / consulenti, esternalizzare fornitori, clienti, fornitori, partner commerciali, le altre parti interessate e, in certa misura, la società in generale
• Usando la creatività per creare interesse e coinvolgere le persone con il programma, e il mantenimento di tale interesse indeterminato;
• Essere sensibili alle norme culturali, preferenze per le comunicazioni e così via per il pubblico - nota il plurale: non ha molto senso di concentrare tutte le attività di sensibilizzazione per la sicurezza su un pubblico omogeneo quando sappiamo bene che unità di business, i servizi, i gruppi e gli individui variano notevolmente chiave in molti aspetti. "Vendere" rispetto al diritto d'autore, ad esempio, un indiano o cinese della business unit è un po 'diversa prospettiva di ottenere lo stesso punto in tutta l'organizzazione di uno scandinavo. Per alcune persone, il 3 minuti panoramica di alto livello è più che sufficiente: per gli altri, a 3 minuti non sarebbe quasi sufficiente per brevissimo di introduzioni;
• Assunzione di impegno pubblico per l'estensione della partecipazione attiva del pubblico, ad esempio incoraggiare i dirigenti, i professionisti IT e ai dipendenti di dialogare sullo stesso tema della sicurezza informatica, mettendo i loro rispettivi punti di vista nel contesto di una visione condivisa dei termini e dei concetti coinvolti.

(9) Se "la sicurezza delle informazioni è compito di tutti", che dovrebbe essere nell'interesse di tutti le descrizioni di posti di lavoro - non è una cattiva idea in sé, ma mi pare c'è un po 'di più ad essa. "La sicurezza delle informazioni è una responsabilità di tutti" si è un ulteriore passo avanti, dato che non è puramente un lavoro connessi cosa, e allude a un elemento essenziale del concetto di sicurezza, che di proprietà, la responsabilità e la responsabilità. "La sicurezza delle informazioni è quello che facciamo" potrebbe essere un po 'eccessivo, ma io preferisco la parola "noi" in quanto vi è chiaramente una responsabilità condivisa. [Affermando sul significato e le sfumature di ogni parola sa del processo di sviluppo di folle missione aziendale dichiarazioni. Tuttavia, la discussione è almeno se non più importante che il prodotto, un po 'come la pianificazione e piani. Discutere di tali principi di sicurezza porta a una comprensione comune ed è un buon modo per coinvolgere dirigenti con il programma di sensibilizzazione.]

A destra, che la sezione 2.2.1 in debita considerazione. Mi fermo qui per ora, lasciando il restante esame di 156 pagine, come un esercizio per voi cari lettori - a casa, se vuoi. NIST accoglie osservazioni sul progetto di SP800-16 fino al 26. Giugno 2009 via e-mail a 800-16comments@nist.gov.

Cordiali saluti,
Gary Hinson
NoticeBored




Maggiori informazioni ...