Hord Tipton è citato in un pezzo piuttosto secco GovInfoSecurity facendo riferimento alla "necessità di prevedere azioni di sensibilizzazione e formazione dipendenti federali più spesso che una volta l'anno, a causa delle mutevoli sfide della sicurezza IT presenta". destro su Hord! Mi rendo sto citando un piccolo estratto di un breve pezzo su un comunicato stampa intervista, ma ancora c'è molto di più Hord della dichiarazione comporta. Spero che mi perdonerà una breve ma appassionato rant ...

1. E 'non solo dipendenti federali che hanno bisogno di più di una volta a un anno di formazione. Lo stesso vale per tutti, compresi i dipendenti (personale, manager, professionisti IT, temps, imprenditori, consulenti, revisori dei conti ...), studenti, pensionati e gli altri membri ordinari del pubblico in generale. E sì, anche CISSPs. Una volta a un anno una sessione di formazione rientra modo breve di ciò che ogni razionale sarebbe chiamata professionale formazione professionale continua.

2. Che cosa è "azioni di sensibilizzazione e formazione" anyway? In base alla mia esperienza, è doublespeak di gestione per una conferenza presso le truppe - una trasmissione, un sermone forse, ma quasi sempre noioso, noioso e peggiore di quello che, fastidioso per tutti gli interessati. Gestione arrivare a becco largo al lavoro su quello che essi dovrebbe e non dovrebbe fare. Essi stabiliscono il diritto societario, di solito con implicite o esplicite minacce di thrash il messaggio d'origine. Tali sessioni di prendere tempo occupato worklives, e sono frequentati sotto sofferenza (non perché il pubblico vuole effettivamente a lungo andare e imparare nuove cose, ma perché è stato detto senza mezzi termini che "solo per andare"). presuntuoso o ingenuo manager barrare la casella che dice il rispetto "Sicurezza consapevolezza - fatto" e spostare su 'cose più importanti'. In realtà, , di cosa sto parlando non è né la consapevolezza, né di formazione. Si tratta di un tentativo di lavaggio del cervello amatoriale. Esso mostra una sorprendente mancanza di creatività e la comprensione della psicologia umana. L'unica motivazione che ottiene è quello di incoraggiare il personale (e, scommetto, alcuni dirigenti ) per trovare il modo di eludere le sessioni future.

3. IT effettivamente presenti mutevoli sfide, ma anche l'organizzazione, la sua attività, commerciale e normativo, le persone, il rispetto degli obblighi, le conseguenze del fallimento, gli hacker, il malware, i criminali, i concorrenti , il peer, i partner ... Oh, e dal modo in cui, non è solo una questione di sicurezza IT. La sicurezza delle informazioni prende in evidente cose come conversazioni indiscrete e lasciando sensibili documenti sui mezzi di trasporto pubblico, ma più sottilmente si tratta di tutelare le attività di informazione, vale a dire il contenuto informativo, la significato, le conoscenze, le competenze e l'esperienza - che va ben oltre i dati o informatico.

Sicuramente da adesso siamo tutti sapere sessioni annuali di sensibilizzazione semplicemente non funzionano. E 'veramente difficile non poke gigante buchi nel concetto, ma perché questo ridicolo "annuale di sensibilizzazione" che si rifiutano di fissare e morire? Dubito seriamente che qualsiasi CISSP sostengono che sottoponendo i dipendenti a uno " azioni di sensibilizzazione e formazione di sessione "(che potrebbe essere qualunque) sta per raggiungere qualcosa di vantaggioso passato le prime settimane, giorni, ore o minuti, per non parlare di persistere fino a quando il prossimo anno in corso. Vuoi consentire a qualcuno di guidare una macchina, sulla base di una "guida di sensibilizzazione sessione di formazione" una volta l'anno? Vuoi essere felice di non mascherare il volto e il tuo patrimonio più prezioso nelle mani di un chirurgo che ha fatto un "intervento chirurgico di sensibilizzazione sessione di formazione" quasi un anno fa? E 'totalmente noci, ancora si conserva fino a venire come un terribile zombie torna dalla tomba a perseguitarci.

Quello che mi preoccupa di più è che si limita a ripetere la frase (che mi rendo conto, per ironia della sorte, è esattamente quello che sto facendo ora) "annuale sicurezza consapevolezza sessioni di formazione" che promuove il mito che la cosa si intende per sicurezza di sensibilizzazione e / o di formazione alla sicurezza, che sono in realtà ben distinti idee. Peggio ancora, poiché siamo tutti sapere che queste sessioni annuali sono un inutile e insopportabile spreco di tempo, esso implica che sia la sicurezza e la consapevolezza di formazione alla sicurezza sono anche inutile e insopportabile. Doh! Questo è un classico esempio di buttare il bambino con l'acqua sporca.

Prendere in considerazione per un secondo i moderni aeromobili e il suo pilota. L'abitacolo è farcito di più sorprendente wizzardry tecnico, destinate a rendere battenti come sicuro, efficiente in termini di costi e, in generale, piacevole possibile per tutti i soggetti coinvolti, una gran parte di essi destinata a rendere il pilota del lavoro più semplice e più facile che mai ... Eppure noi non lasciare solo nessuno sedersi nel posto caldo e volare a Barbados. Piloti impegnano intensi corsi di formazione sul campo ancora prima di prendere per il cielo, e poi sono tenuti a orologio tante ore di volo esperienza, prima di essere concesso il privilegio di diventare un pilota qualificato - e sì, è un privilegio che porta una pesante responsabilità. Essi hanno inoltre on-the-job e un simulatore di volo per completare le esercitazioni, valutazioni periodiche e per tenerli aggiornati con le ultime tecnologie, regole del volo e così via, nel corso della loro carriera. Essi si riuniscono e conversare con gli altri piloti, il loro interesse per nuovi rischi e opportunità in volo. Essi sviluppano una passione personale o l'amore per quello che fanno. Essi get it.

OK, ora passare scene alla media aziendale "utente finale" (sicuramente un termine peggiorativo, ma piuttosto apt in questo contesto) - in gran parte poco, quasi sempre senza riserve e sabato c'è ancora caldo nella sede aziendale che giocano con le attività e le informazioni personali con quasi un pensiero per la loro protezione o di sicurezza. Il PC è solo uno strumento per lui, uno che appartiene alla società, il male che lo rende il lavoro per vivere. Siamo sorpresi che non farlo a tutti, anche a destra dopo uno dei quelle terribili "annuale di sensibilizzazione sessioni di formazione"?

A destra, passare di nuovo per le scene classiche geek hacker, i tatuaggi e piercing e nero hoody - auto formazione, conoscenza, impegno e passione sì intensamente su ciò che egli fa, con un profondo rispetto per il fascino e la tecnologia. Il suo PC è una forma d'arte , una cosa di gioia, anche un altare. Lui abita un universo parallelo per l'utente finale. Quando l'utente finale uomo bussa off-lavoro a 5 e traipses dejectedly casa, l'ultima cosa che vuole fare è "sedersi di fronte al sanguinosa PC per tutta la notte ", mentre questo è esattamente ciò che geek-hacker gode di più. Una volta che l'inizio bytes battenti, la endorfine sono rilasciate e prima che lui lo sa, è l'alba e il tempo per prepararsi per il lavoro.

In termini di sicurezza del computer, è una lotta seria sleale. Nel blu angolo, l'utente finale solo uomo vuole fare il suo lavoro e hanno una vita facile. In rosso angolo, geek hacker vuole proprio la sua b0x, e ha gli strumenti, competenze e la motivazione per farlo (e in questi giorni, qualcuno vuole pagare lui gravi soldi per farlo per lui). Nel frattempo, il povero vecchio gestore di sicurezza del suo meglio per gee fino agli utenti finali, l'uomo da guardare, ma sa non c'è sarà una bella fine.

Beh forse ho allungato troppo sul serio che l'analogia e la parodia preso troppo, ma quello che sto davvero a ottenere è che l'utente-uomo disperatamente bisogno informazioni di sicurezza efficaci di sensibilizzazione e formazione per:

• Inform lui circa le informazioni di sicurezza attorno a lui tutti i rischi, in termini che possono riguardare;
• Visualizza lui come riconoscere e affrontare tali rischi, in termini pragmatici che possono effettivamente utilizzare;
• Fornire le competenze e gli strumenti per fare cose sicuro, e il senso di riferire cose che palesemente non è giusto;
• Motivare lui ad assumere un interesse a tutelare sia la società della informazione e della propria attività;
• Ricordargli dei suoi obblighi, responsabilità e senso di responsabilità verso un comportamento sicuro;
• Luce che scintilla della passione, che l'interesse e senso di controllo sul suo proprio destino, che gli permetteranno di prendere la lotta per l'altro angolo. Fino a meno e si arriva a questa fase, e constently ripetibilmente ", azioni di sensibilizzazione e formazione" è destinata. Noi non creare una cultura della sicurezza da gridare giù dipendenti 'earholes una volta all'anno.

Questo è tutto, il relax, oltre rant. Adesso è il tuo turno. Cosa tu pensi?




Maggiori informazioni ...