Hord Tipton is genoteerd in een nogal kortaf stuk op GovInfoSecurity verwijzen naar de "Noodzaak om federale medewerkers bewust opleiding vaker dan een keer per jaar als gevolg van de steeds veranderende uitdagingen voor IT-beveiliging". rechtermuisknop op Hord! Ik realiseer ik citeer een klein uittreksel uit een kort stukje over een persconferentie interview, maar nog steeds is er veel meer in dan Hord verklaring impliceert. Ik hoop dat je me vergeven een korte maar hartstochtelijke rant ...

1. Het is niet alleen federale werknemers die meer dan een keer-een-jaar-opleiding. Hetzelfde geldt voor iedereen, ook voor medewerkers (medewerkers, managers, IT-professionals, temps, aannemers, consultants, accountants ...), studenten, gepensioneerden en andere gewone leden van het grote publiek. En ja, zelfs CISSPs. Een keer per jaar training valt manier korte van wat ieder rationeel professionele zou Continuous Professional Education.

2. Wat is een "training" eigenlijk? In mijn ervaring is het beheer van tong voor een lezing op de troepen - een uitzending, een preek misschien, maar bijna altijd vervelend, saai en erger dan dat, vervelend voor alle betrokkenen. Management leren tuit uit bij het personeel over wat zij en niet moet doen. Ze bepalen de vennootschapsrecht, meestal met een impliciete of expliciete dreigementen aan thrash het bericht thuis. Dergelijke sessies neemt time-out van de drukke worklives, en worden bijgewoond onder duldbaar (niet omdat het publiek daadwerkelijk wilt gaan en leren van nieuwe dingen, maar omdat ze worden verteld in duidelijke bewoordingen dat zij "alleen maar op te gaan"). waanwijs of naïef managers Kruis de naleving vak dat zegt "Veiligheid bewustzijn - done" en ga naar "meer belangrijke dingen. In werkelijkheid , waar ik het over heb is noch bewustzijn noch opleiding. Het is een amateur poging tot hersenspoeling. Het blijkt een verbazingwekkend gebrek aan creativiteit en inzicht in de menselijke psychologie. De enige motivatie zij behaalt is het stimuleren van het personeel (en ik wed dat sommige managers ) manieren te vinden om zich te onttrekken aan toekomstige sessies.

3. IT inderdaad aanwezig steeds veranderende uitdagingen, maar zo denkt de organisatie, haar activiteiten, de commerciële en regelgeving, de mensen, de verplichtingen, de gevolgen van een faillissement, de hackers, de malware, de misdadigers, de concurrenten , de peers, de partners ... Oh, en door de manier, het is niet alleen een kwestie van de IT-beveiliging. Informatiebeveiliging is in de voor de hand liggende dingen zoals indiscretie gesprekken en het verlaten van gevoelige documenten in het openbaar vervoer, maar meer subtiel het gaat om bescherming van informatie activa, dat wil zeggen de informatie-inhoud, de betekenis, de kennis, de deskundigheid en ervaring - dat gaat een stuk verder dan de gegevens of IT.

Zeker nu we allemaal weten jaarlijks terugkerende sessies gewoon niet werken. Het is echt niet moeilijk te poke gigantische gaten in het concept, maar waarom is dit belachelijke "jaarlijkse bewustzijn" ding weigert vast te leggen en te sterven? Ik betwijfel of CISSP ernstig zou concluderen dat het onderwerpen van de werknemers met een " bewustzijn training "(wat dat zou kunnen worden) zal bereiken wat uiteindelijk voorbij de eerste paar weken, dagen, uren of minuten, laat staan te blijven tot het volgende jaar van de sessie. Wilt u toestaan dat iemand aan het besturen van een auto op basis van een "rijden bewustzijn training" een keer per jaar? Zou u graag doe het gezicht masker en plaats uw meest waardevolle persoonlijke activa in de handen van een chirurg die heeft een "chirurgie bewustzijn training" bijna een jaar geleden? Het is volledig noten, maar het blijft komen als een gevreesde zombie terug uit het graf te achtervolgen ons.

Wat mij zorgen baart is dat de meeste alleen het herhalen van de woorden (die ik waardeer, ironisch, is precies wat ik nu doen) "jaarlijkse security awareness trainingen" bevordert de mythe dat dit is wat wordt bedoeld met beveiliging en / of beveiliging opleiding, die zijn in feite heel verschillende ideeën. Erger nog, omdat we allemaal weten dat deze jaarlijkse zittingen zijn een waardeloos en onduldbaar verspilling van tijd, dit betekent dat zowel voor beveiliging en veiligheid opleiding zijn ook waardeloos en onduldbaar. Doh! Dat is een klassiek voorbeeld van het gooien van de baby met het badwater.

Overwegen om een tweede moderne vliegtuigen en de piloot. De cockpit is gevuld met de meest verbazingwekkende technische wizzardry, ontworpen om te vliegen als een veilige, kostenefficiënte en algemeen aangenaam mogelijk te maken voor alle betrokkenen, een groot deel van hen ontworpen om de piloot het werk eenvoudiger en gemakkelijker dan ooit ... maar laten we niet alleen iemand zitten in de warme zetel en vliegen we naar Barbados. Piloten ondernemen intensieve trainingen op de grond voordat zelfs rekening naar de hemel, en dan moeten de klok zoveel vlieguren ervaring voordat ze het privilege om een gekwalificeerde piloot - en ja het is een voorrecht dat draagt een zware verantwoordelijkheid. Zij hebben verder on-the-job training en vluchtnabootsertraining oefeningen te voltooien, en regelmatig evaluaties te houden ze up-to-date met de nieuwste technologieën, vlucht regels enzovoorts, gedurende hun gehele loopbaan. Ze ontmoeten en praten met andere piloten, het nemen van een belang in de nieuwe risico's en kansen in het vliegen. Ze ontwikkelen een zeer persoonlijke passie of liefde voor wat ze doen. Ze get it.

OK, nu switch scènes met de gemiddelde corporate "eindgebruiker" (zeker een negatieve termijn, maar zeer geschikt in dit verband) - grotendeels ongetraind, bijna altijd goedkeurend en toch zat daar in de warme zetel spelen met zakelijke en persoonlijke informatie activa met nauwelijks een gedachte als hun bescherming of beveiliging. De PC is slechts een hulpmiddel om hem, die behoort tot het kwaad corporatie dat maakt hem voor een levende. Zijn we verbaasd dat zij niet krijgen op alle, ook direct na een van die vreselijke "jaarlijks trainingen"?

Rechts, switch scènes weer naar het klassieke geek hacker, alle tatoeages en piercings en zwarte hoody - zelf opgeleid, deskundig, betrokken en ja intens gepassioneerd over wat hij doet, met een diepe fascinatie en respect voor de technologie. Zijn PC is een kunst , een zaak van vreugde, een altaar zelfs. Hij bewoont een parallel universum aan de eindgebruiker. Als eindgebruiker-man klopt uitgeschakeld werk op 5pm en traipses terneergeslagen thuis, het laatste wat hij wil doen is het "zitten in de voorzijde van de bloedige pc de hele nacht ", dat is precies wat geek-hacker geniet het meeste. Zodra de bytes vliegende start, de endorfines zijn vrijgegeven en voordat hij weet het, het is de dageraad en tijd klaar te krijgen voor het werk.

In computer termen van veiligheid, het is een serieus oneerlijke strijd. In de blauwe hoek, eindgebruiker man gewoon wil zijn baan en een eenvoudig leven. In de rode hoek, geek hacker wil zijn eigen b0x, en heeft de instrumenten, deskundigheid en de motivatie om het te krijgen (en deze dagen, iemand wil hem serieus geld te doen voor hem). Intussen is de arme oude security manager doet zijn best om gee tot eindgebruiker-man van de zijlijn, maar weet er niet zal een mooi einde.

Nou misschien heb ik serieus over-gestrekt dat analogie genomen en de parodie te ver, maar wat ik echt op is dat de eindgebruiker-man dringend behoefte aan effectieve informatiebeveiliging bewustzijn en opleiding naar:

• Informeert hem over de veiligheidsrisico's rondom hem, wat hij kan betreffen;
• Toon hem hoe te herkennen en aanpakken van deze risico's, in pragmatische termen hij daadwerkelijk kan worden gebruikt;
• Geef hem de nodige vaardigheden en instrumenten om spullen veilig, en het gevoel te melden spul dat is duidelijk niet goed;
• Motiveren zich te nemen van een belang in de bescherming van zowel het bedrijf de informatie van activa en eigen;
• Herinner hem van zijn verplichtingen, zin verantwoording en verantwoordelijkheid ten opzichte van veilig gedrag;
• Licht dat vonk van passie, dat de belangstelling en gevoel van controle over zijn eigen lot, dat hem in staat om de strijd om de andere hoek. Tot en tenzij we in dit stadium constently en herhaalbaar, "training" is gedoemd. We zullen nooit een veiligheidscultuur door geschreeuw vastgedrukt werknemers earholes eenmaal per jaar.

Dat is alles, ontspan, rant over. Nu is het jouw beurt. Wat doen jij denken?




Meer ...