Ik heb gelezen en denken nu over een herziene NIST Special Publication SP800-16Momenteel vrijgegeven voor publiek commentaar. Als je echt geïnteresseerd bent in het maken van veiligheid bewustzijn doeltreffender te maken, adviseer ik afgezien van een uur of drie te lezen en te overwegen het ontwerp-document.

Om uw eetlust opwekken, hier zijn slechts een paar korte alinea's van het ene deel van het ontwerp, met mijn eigen gedachten en opmerkingen besluiten hieronder.

Onder punt 2.2.1 van SP800-16, NIST zegt:

"Bewustwording is geen opleiding (1). Security awareness is een blended oplossing van activiteiten (2) dat de veiligheid te bevorderen, stellen verantwoording, en stelt het personeel van de beveiliging nieuws (3). Bewustwording wil de aandacht van een persoon gericht zijn op een probleem of een reeks kwesties (4). Het doel van het bewustzijn presentaties is gewoon de aandacht te vestigen op veiligheid (4). Awareness presentaties zijn bedoeld om individuen die informatie bezorgdheid over de veiligheid te herkennen en dienovereenkomstig reageren. (2)

In het bewustzijn de activiteiten van de leerling is een ontvanger van informatie, terwijl de leerling in een opleiding milieu heeft een meer actieve rol. (2) Awareness beroept zich op het bereiken van brede publiek met aantrekkelijke verpakking technieken. Opleiding is meer formele, met een doelstelling van het opbouwen van kennis en vaardigheden om prestaties op het werk te vergemakkelijken. (5)

Een paar voorbeelden van bewustzijn informatiebeveiliging materialen / activiteiten omvatten:
• Evenementen, zoals een informatiebeveiliging dag,
• Briefings (programma-of systeem-specifieke of probleem-specifieke)
• Promotie / specialiteit snuisterijen met motiverende slogans,
• Een zekerheid herinnering banner op computerschermen, die komt wanneer een gebruiker zich aanmeldt,
• Beveiliging bewustzijn videobanden en
• Posters en flyers. (6)

Effectieve informatiebeveiliging bewustzijn inspanningen moeten worden ontworpen met de erkenning dat mensen de neiging om de praktijk een tuning-out proces genaamd acclimatisatie. Als een stimulus, oorspronkelijk een eye-opener wordt herhaaldelijk gebruikt wordt, zal de leerling selectief negeren de prikkel. (6) Zo moet het bewustzijn levering aan de gang, creatieve en motiverende, met het doel de aandacht te richten van de lerende, zodat het leren zullen worden opgenomen in de bewuste besluitvorming. Dit heet assimilatie, een proces waarbij een individu bevat nieuwe ervaringen in een bestaande gedragspatroon. (3 & 5)

Leren bereikt door middel van een bewustzijn activiteit meestal op korte termijn, onmiddellijk, en specifiek. Bijvoorbeeld, als een leerdoel is "vergemakkelijken het toegenomen gebruik van doeltreffende wachtwoord bescherming onder medewerkers," een bewustzijn activiteit zou kunnen zijn het gebruik van de herinnering stickers voor toetsenborden van computers. (7)

De fundamentele waarde van bewustzijn informatiebeveiliging programma's is dat ze de weg geëffend voor bewustmaking en rol-gebaseerde training doordat een verandering in de houding die moet beginnen om de organisatiecultuur te veranderen. De culturele verandering gezocht (8) is het besef dat informatiebeveiliging is cruciaal omdat een zekerheid niet mogelijk negatieve gevolgen voor iedereen heeft. Daarom informatiebeveiliging is de taak van iedereen. (9) "

Mijn commentaar:

(1) De termen "bewustzijn", zijn "opleiding" en "onderwijs" vaak door elkaar en soms in combinatie worden gebruikt, zoals in "het bewustzijn opleiding". Zij zijn echter verschillende activiteiten met verschillende mechanismen en doeleinden. SP800-50 "Bouwen aan een Information Technology Security Awareness and Training Program" heeft betrekking op dit punt nogal welsprekend, beter dan in feite SP800-16 en FISMA die zich gelijkspel in knopen over de terminologie.

(2) Als je kan lezen langs de veel misbruikte tweede woord van "blended oplossing van activiteiten", het echte punt is dat het bewustzijn is een reeks van afzonderlijke maar complementaire activiteiten - en door de "activiteiten" bedoel ik dingen die betrekking hebben fysieke handelingen door beide de informatie gevers en ontvangers van de informatie. Ik heb het over proactief leren, niet passief entertainment of "edutainment". Het belangrijkste onderdeel van een opleiding is niet de presentatie dia's of andere materialen, de presentator, de inrichting of het publiek: het is de betrokkenheid, interesse en interactie die er gebeurt als de leden van het publiek wordt geïnspireerd om over na te denken en dan veranderen wat ze doen daarna. Acties spreken luider dan woorden.

(3) De bevolking, met andere woorden het verstrekken van relevante feiten over de risico's informatiebeveiliging en controles, is een belangrijk element van het bewustzijn, opleiding en onderwijs, maar is op zich niet voldoende, in de meeste gevallen. Erudiet maar saai en droog informatiebladen weinig impact hebben en contraproductief kan zijn. Nieuws verhalen zijn slechts een manier om informatie veiligheid te leven, mensen eraan te herinneren dat we niet praten louter hypothetisch over veiligheidsincidenten. Ze zijn echt om ons heen gebeurt, en niet alleen daar in het nieuws, maar veel dichter bij huis, die ons, onze collega's, vrienden en familie, en natuurlijk onze organisatie en de samenleving. Aan persoonlijke informatie over zaken die de veiligheid is een goede manier aan te gaan met mensen.

(4) Focus is belangrijk. Generic, bland "worden beter beveiligd" berichten zijn een totale verspilling van hersenen cycli. Mensen moeten weten wat, in het bijzonder, moeten zij zich zorgen over en wat ze moeten doen ... maar eerst moeten ze open te stellen om zelfs het bericht te ontvangen. Maken van mensen "wakker en ruik de koffie" is een optie maar is niet de enige manier (ik zal spreken over andere technieken een andere keer). Focus, voor mij, ook steeds rechtstreeks naar het punt - die directe en onnodige pluisjes of irrelevante. Het omvat ook de pik op specifieke onderwerpen informatiebeveiliging, met meer diepgang dan is een typisch voorbeeld van die stormde veiligheid inductie opleiding klassen.

(5) Bouw kennis en vaardigheden ter verbetering van prestaties op het werk is allemaal goed, maar heeft weinig waarde, tenzij mensen eigenlijk gebruiken de kennis en vaardigheden als ze weer aan het werk. Om dit te bereiken is de kern van effectieve voorlichting, training en educatieve activiteiten. Tenzij mensen worden genomen dan het punt van het zijn louter houders voor feiten en gemotiveerd zijn om zich veiliger, Is het programma niet van plan om geld te verdienen haar te houden.

(6) mededeling dat "dwingt werknemers neer te zitten massaal in een benauwde zaal of collegezaal terwijl sommige saai IT geek of clueless manager tuiten uit over informatiebeveiliging" niet voor in de lijst NIST's van nuttige activiteiten, maar is niet ver van de waarheid in sommige organisaties! Bewustwording, opleiding en onderwijs nemen creativiteit en passie. Het is niet zo moeilijk eigenlijk.

(7) Rekening focus naar de omvang van een activiteit die het bewustzijn slechts een informatie-beveiliging misschien nodig zijn als dat een controle niet opvallend, maar lijkt onwaarschijnlijk dat de volledige breedte van de beveiligingsmaatregelen die de werknemers moeten begrijpen en respect, in te dekken een redelijke termijn. Koppeling dit punt met de opmerkingen over het bijhouden van de inhoud interessant houdt voor mij de noodzaak om vrij snel lopen door een reeks van onderwerpen, we gaan vooruit op of vlak voor het punt dat oogleden beginnen te hangen. Dit idee van een rollende bewustzijn programma, in mijn ervaring maakt het verschil, maar er is nog een weinig zin in gedachten te houden. "Sequences" kan worden willekeurig of gericht. Een willekeurig assortiment van onderwerpen informatiebeveiliging kan het bereiken van de gewenste dekking, maar mist de mogelijkheid om met elkaar te verbinden opeenvolgende onderwerpen in een meer samenhangend zekerheid verhaal. Being smart over de volgorde en de reikwijdte van de onderwerpen die leidt tot een meer subtiele vorm van zag de oude leraar "Vertel hen wat u gaat vertellen, vertel hen dan te vertellen wat je vertelde hen." We kunnen introduceren toekomstige onderwerpen en verwijst terug naar de vorige thema's, allemaal terwijl het leveren van de onderhavige onderwerp. De verwevenheid van de onderwerpen informatiebeveiliging maakt dit vrij gemakkelijk te bereiken met slechts een beetje van het denken en planning. Het voordeel is een niveau van samenhang en versterking dat willekeurige assortimenten niet te bereiken.

(8) Nu is er een gedachte: we willen "culturele verandering" zijn we? Goed idee, een grondig onderschrijf ik ... maar helaas voor veel managers, veiligheid bewustzijn minder gaat over het bereiken van culturele veranderingen dan over "gezien worden om iets te doen" of, erger nog, "doet het voor de naleving van redenen". Gezondheid en veiligheid opleiding bevindt zich in dezelfde augurk. Effectieve H & S training heeft een blijvende invloed op wat de werknemers doen wat ze gaan over hun normale bedrijfsactiviteiten, lang nadat de inkt droog is op de formulieren opleiding evaluatie. Het gaat om het aantrekken van de oorwarmers en een veiligheidsbril zelfs als er niemand anders op zoek. Het betekent het nemen van een moment om te gaan met een reis gevaar in een openbare weg zelfs als je jezelf duidelijk hebben gespot en voorkomen het gevaar. Het bereiken van culturele verandering naar een "cultuur van veiligheid creëren" is een fantastisch doel, een die veel gemakkelijker te zeggen dan te doen. Voor mij gaat het iets verder dan de nogal simplistische als belangrijke ideeën opgemerkt in paragraaf 2.2.1, het oppakken van begrippen zoals:

• Bieden van continuïteit - planning bewustzijn activiteiten op de lange termijn (en ik niet betekenen 'plannen voor volgend jaar aandacht voor beveiliging sessie'!);
• Aanpak van de gehele organisatie (personeel en managers), in feite de reikwijdte kan nuttig dekking van de organisatie uitgebreid met inbegrip van vrienden en familieleden van medewerkers, aannemers / consultants, uitbesteden leveranciers, klanten, leveranciers, zakelijke partners, andere belanghebbenden en tot op zekere hoogte, de maatschappij grote
• Met behulp van creativiteit om rente te creëren en mensen gaan met het programma, en het behoud van dit belang voor onbepaalde tijd;
• Zijn gevoelig voor culturele normen, voorkeuren en communicatie enzovoort voor het publiek - de aankondiging meervoud: heeft het weinig zin om alle aandacht voor beveiliging activiteiten concentreren zich op een homogeen publiek wanneer we weten heel goed dat business units, afdelingen, teams en individuen variëren sterk op veel belangrijke punten. "Selling" copyright naleving van, zeg, een Indiaas of Chinees business unit is een heel ander perspectief te krijgen hetzelfde punt over naar een Scandinavische organisatie. Voor sommige mensen, de 3 minuten op hoog niveau overzicht is meer dan genoeg: voor anderen, 3 minuten zou niet bijna genoeg voor de kortste van de introducties;
• Rekening publiek engagement in de mate van actieve deelname van het publiek, bijvoorbeeld stimuleren managers, IT-professionals en werknemers te praten over hetzelfde onderwerp informatiebeveiliging, waardoor hun respectievelijke standpunten in het kader van een gezamenlijke interpretatie van de begrippen en de betrokken concepten.

(9) Als "informatiebeveiliging is de taak van iedereen", zou dat het in beroep ieders beschrijvingen - niet een slecht idee op zich, maar ik voel me er een beetje meer aan. "Informatiebeveiliging is ieders verantwoordelijkheid" neemt een stap verder want het is niet louter een taak-gerelateerde ding, en hints op een cruciaal begrip veiligheid, die van eigenaar, verantwoording en verantwoordelijkheid. "Informatiebeveiliging is wat we doen" misschien een beetje overdreven, maar ik heb liever het woord 'wij' daar want het is duidelijk een gedeelde verantwoordelijkheid. [Arguing over de specifieke betekenis en nuances van elk woord riekt van de gekke proces van de ontwikkeling van corporate mission statements. Echter, de discussie is minstens zo niet meer waard dan het product, in plaats van zoals planning en plannen. Het bespreken van deze zekerheid principes leidt tot een gemeenschappelijk begrip en is een goede manier om senior managers gaan met het bewustzijn programma.]

Right, dat is punt 2.2.1 in overweging genomen. Ik stop er voor nu, waardoor de behandeling van de resterende 156 pagina's als een oefening voor je lieve lezer - huiswerk als je wil. NIST ingenomen opmerkingen over het ontwerp SP800-16 tot en met 26 juni 2009 per e-mail naar 800-16comments@nist.gov.

Met vriendelijke groet,
Gary Hinson
NoticeBored




Meer ...