Jeg har lest og tenker i dag om en revidert NIST Special Publication SP800-16, Nå frigitt for offentligheten kommentar. Hvis du er genuint interessert i å gjøre sikkerhetsbevissthet mer effektive, anbefaler jeg å sette av en time eller tre til å lese og vurdere utkast.

For å skjerpe appetitten, her er bare noen korte avsnitt fra én del av utkastet, med mine egne tanker og kommentarer sitert nedenfor.

Under pkt. 2.2.1 av SP800-16, sier NIST:

"Bevisstgjøring er ikke trening (1). Security bevisstheten er en blandet løsning av aktiviteter (2) som fremmer sikkerhet, etablere ansvarlighet, og informere arbeidsstokken for sikkerhet nyheter (3). Awareness søker å fokusere en individuell oppmerksomhet på et problem eller en sett med problemer (4). Formålet med bevisstheten presentasjoner er ganske enkelt å sette fokus på sikkerhet (4). Awareness presentasjoner er ment å tillate individer å gjenkjenne informasjonssikkerhet bekymringer og reagere deretter. (2)

I bevisstheten aktiviteter eleven er mottaker av informasjonen, mens eleven på en treningstur miljøet har en mer aktiv rolle. (2) Bevissthet er avhengig av å nå bredt publikum med flott teknikk. Opplæring er mer formell, har et mål om å bygge kunnskap og ferdigheter for å forenkle jobben ytelse. (5)

Noen få eksempler på informasjon sikkerhetsbevissthet materiell / aktiviteter omfatter:
• Events, for eksempel en informasjonssikkerhet dag,
• Orienteringer (program-eller system-spesifikke eller problem-spesifikk)
• Reklame / spesialitet pyntegjenstander med motiverende slagord,
• En sikkerhet påminnelse banner på dataskjermer, som kommer opp når en bruker logger seg på,
• Sikkerhet bevissthet videobånd og
• plakater eller flyers. (6)

Effektiv informasjon sikkerhetsbevissthet innsatsen må være utformet med erkjennelsen av at folk har en tendens til å praktisere en tuning-ut prosessen kalles akklimatisering. Dersom en stimulans, opprinnelig en oppmerksomhet-getter, blir brukt gjentatte ganger, vil eleven selektivt ignorere stimulans. (6) Dermed må bevissthet levering være pågående, kreativ og motiverende, med formål å fokusere på studentens oppmerksomhet slik at læring vil bli innarbeidet i bevisst beslutningsprosess. Dette kalles assimilasjon, en prosess der et individ innlemmer nye opplevelser i en eksisterende atferd mønster. (3 og 5)

Læring oppnås gjennom et enkelt bevissthet aktivitet har en tendens til å være kortsiktige, direkte og konkret. For eksempel hvis en læring Målet er «rette for økt bruk av effektive passordbeskyttelse blant ansatte, sier en bevissthet aktivitet kan være bruk av påminnelsen klistremerker for computer tastaturer. (7)

Den grunnleggende verdien av informasjonssikkerhet bevissthet programmer er at de setter scenen for bevissthet opplæring og rollebasert opplæring ved å skape en endring i holdninger som bør begynne å endre organisasjonskultur. Den kulturelle endringen søkes (8) er realisering at informasjonssikkerhet er kritisk fordi en sikkerhet svikt har potensielt skadelige konsekvenser for alle. Derfor er informasjonssikkerhet alles jobb. (9) »

Mine kommentarer:

(1) Begrepene "bevissthet" er "opplæring" og "opplæring" ofte brukes om hverandre og noen ganger kombinert, som i «bevissthet opplæring". Men de er ulike aktiviteter med ulike mekanismer og formål. SP800-50 "Building an Information Technology Security Awareness and Training Program" dekker dette punktet ganske elegant, bedre i virkeligheten enn SP800-16 og FISMA som binder seg knop over terminologi.

(2) Hvis du kan lese forbi mye misbrukt andre ord "blandet løsning av aktiviteter", er det virkelige poenget at bevisstheten krever en rekke separat men utfyllende aktiviteter - og av "aktiviteter" Jeg mener ting som innebærer fysiske tiltak av både informasjonen givers og informasjonen mottakere. Jeg snakker om proaktiv læring, ikke passiv underholdning eller "Edutainment". Den viktigste del av et kurs er ikke presentasjonen skred eller andre materialer, programleder, anlegget eller publikum: det er engasjement, interesse og samhandling som skjer når medlemmer av publikum blir inspirert til å tenke og endre deretter hva de gjøre etterpå. Handlinger taler høyere enn ord.

(3) Informere folk, med andre ord gi relevante fakta om informasjon sikkerhetsrisikoer og kontroller, er et viktig element av bevissthet, opplæring og utdanning, men er i seg selv ikke tilstrekkelig i de fleste tilfeller. Lærde, men kjedelig og tørt faktaark har begrenset effekt og kan virke mot sin hensikt. Nyhetsartikler er bare én måte å bringe informasjon sikkerhet for liv, å minne folk om at vi ikke snakker rent hypotetisk om sikkerhetshendelser. De er virkelig skjer rundt oss, og ikke bare der ute i nyhetsoverskrifter men mye nærmere hjemmet, påvirker oss, våre kolleger, venner og familie, og selvfølgelig vår organisasjon og samfunn. Få personlig på informasjonssikkerhet saker er en god måte å engasjere seg med folk.

(4) Focus er viktig. Generisk, bland "være mer sikker" meldinger er et totalt sløseri av hjernen sykluser. Folk trenger å vite hva spesifikt, bør de være bekymret for og hva de skal gjøre ... men først de trenger for å åpne opp for å selv motta meldingen. Making people "våkne opp og lukte kaffen" er ett alternativ, men er ikke den eneste måten (jeg snakker om andre teknikker en annen gang). Fokus, for meg, inneholder få rett til poenget - å være direkte og unngå unødvendig fluff eller irrelevancies. Det omfatter også å plukke på spesifikk informasjon sikkerhet emner, og gir mer dybde enn det som er typisk for de stormet sikkerhet innledning trening klasser.

(5) tok kunnskaper og ferdigheter for å forbedre ytelsen jobben er vel og bra, men har liten verdi hvis ikke folk egentlig bruke kunnskap og ferdigheter når de kommer tilbake til arbeidet. Å få til dette er crux av effektive bevissthet, opplæring og lærerike aktiviteter. Med mindre folk er tatt utenfor poenget med å være bare beholdere for fakta og er motivert for å oppfører seg sikrere, Er programmet ikke kommer til å tjene sine beholde.

(6) Legg merke til at "tvinge ansatte til å sitte ned en masse i et tett møterommet eller forelesningssal mens noen kjedelig datanerd eller clueless manager tuter av om informasjonssikkerhet" ikke-funksjonen i NIST's liste over lønner aktiviteter, men er ikke langt fra sannheten i enkelte organisasjoner! Bevissthet, opplæring og utdanning tar kreativitet og lidenskap. Det er ikke så vanskelig egentlig.

(7) Tar fokus til omfanget av et enkelt bevissthet aktivitet dekker bare en enkelt informasjonssikkerhet kontroll kanskje være nødvendig hvis man kontrollen er tydelig sviktende men synes usannsynlig å dekke den fulle bredden av sikkerhetskontroller at ansatte skal forstå og respektere, i enhver rimelig tid. Coupling dette punktet med kommentarer om å holde innholdet interessant innebærer for meg behovet for å kjøre ganske raskt gjennom en sekvens av emner, flytte fram ved eller like før det punktet at øyelokkene begynner å henge. Denne ideen om en rullende bevissthet program, i min erfaring, gjør hele forskjellen, men det er enda en liten hensikt å huske på. "Sekvenser" kan være tilfeldig eller rettet. Et tilfeldig utvalg av informasjonssikkerhet emner kan oppnå dekning ønsket, men savner muligheten til å knytte sammen etterfølgende emner til en mer sammenhengende sikkerhet historie. Å være smart om sekvensen og omfanget av emner fører til en mer subtil form av den gamle læreren så "Fortell dem hva du skal fortelle dem, fortelle dem, og fortelle dem hva du sa". Vi kan innføre fremtidige emner og se tilbake på tidligere emner, samtidig levere dagens tema. Den interrelatedness av informasjonssikkerhet emner gjør dette ganske lett å oppnå med bare litt tanker og planlegging. Fordelen er en grad av sammenheng og armering som tilfeldig sortimenter ikke oppnå.

(8) Nå er det en tanke: Vi søker "kulturell endring" er vi? Flott idé, som jeg grundig godkjenne ... men dessverre for mange ledere er sikkerhetsbevissthet mindre om å oppnå kulturell endring enn om "å bli sett skal gjøre noe" eller, enda verre, "gjør det for overholdelse grunner". Helse og sikkerhetsopplæring befinner seg i samme pickle. Effektiv H & S trening har en varig innflytelse på hva ansatte kan gjøre som de går om sin normale virksomhet, lenge etter at blekket har tørket på trening evaluering former. Det handler om å sette på øreklokker og vernebriller selv når det er ingen andre ser. Det betyr å ta et øyeblikk for å håndtere en tur fare i en offentlig gjennomfartsvei selv når du selv har klart oppdaget og unngikk fare. Oppnå kulturell endring for å skape en "kultur for sikkerhet" er et fantastisk objektiv, en som er mye enklere å si enn å gjøre. For meg går det litt utover den ganske enkle dersom viktige ideer nevnt i avsnitt 2.2.1, plukke opp begreper som:

• Gi kontinuitet - planlegging oppmerksomhet aktiviteter på lang sikt (og jeg ikke betyr 'planlegger neste års sikkerhetsbevissthet økt "!);
• Adressering hele organisasjonen (ansatte og ledere), faktisk omfanget kan praktisk dekke utvidet organisasjonen, inkludert venner og slektninger av ansatte, entreprenører / konsulenter, eksterne leverandører, kunder, leverandører, samarbeidspartnere, andre interessenter og til en viss grad, samfunn på frifot
• Ved hjelp av kreativitet for å skape interesse og engasjere personer med programmet, og beholde den interessen det uendelige;
• Å være sensitiv for kulturelle normer, kommunikasjon preferanser og så videre for publikum - varsel flertall: det er lite fornuftig å fokusere alle sikkerhetsbevissthet aktivitetene på en homogen publikum når vi vet godt at forretningsenheter, avdelinger, lag og enkeltpersoner varierer markert på mange vesentlige punkter. "Selger" copyright samsvar å si, et indisk eller kinesisk forretningsenheten er en ganske annen utsiktene til å få samme punkt over til en skandinavisk organisasjon. For noen mennesker er det 3 minutters høyt nivå oversikt mer enn nok for andre, 3 minutter ville ikke være nær nok for de korteste av introduksjoner;
• Tar publikum engasjement i den grad av aktiv deltakelse publikum, for eksempel oppmuntre ledere, profesjonelle IT og ansatte til å snakke på samme informasjonssikkerhet emne, sette sine respektive synspunkter i forbindelse med en felles forståelse av begrepene og begreper involvert.

(9) Hvis "informasjonssikkerhet er alles jobb", burde det være i alles jobb beskrivelser - ikke en dårlig idé i seg selv, men jeg føler det er litt mer til den. "Informasjonssikkerhet er alles ansvar" tar det et skritt videre siden det ikke er rent en jobb-relaterte ting, og hint i en viktig sikkerhets konsept, som av eierskap, ansvarlighet og ansvar. "Informasjonssikkerhet er det vi gjør" kanskje være litt overdrevent, men jeg foretrekker ordet "vi" i det siden det er tydelig et delt ansvar. [Krangling om spesifikk betydning og nyanser av hvert ord preget av de vanvittige prosessen med å utvikle forretningsidé uttalelser. Imidlertid er diskusjonen i det minste hvis ikke mer verdifull enn produktet, snarere som planlegging og planer. Diskuterer slik sikkerhet prinsipper fører til en felles forståelse og er en god måte å engasjere toppledere med bevisstheten programmet.]

Høyre er den delen 2.2.1 behørig vurdert. Jeg stopper der nå, forlater vurdering av de resterende 156 sidene som en øvelse for deg kjære leser - lekser hvis du vil. NIST mottar gjerne kommentarer til utkastet SP800-16 til 26 juni 2009 via e-post til 800-16comments@nist.gov.

Vennlig hilsen,
Gary Hinson
NoticeBored




Mer ...