Hord Tipton siteres i en temmelig brysk brikke på GovInfoSecurity henvise til "må gi føderalt ansatte oppmerksomhet trening oftere enn en gang i året på grunn av stadig skiftende utfordringer IT-sikkerhet presenterer". Høyreklikk på Hord! Jeg innser jeg sitere et lite utdrag fra et lite stykke om ett trykk intervjuet, men fortsatt er det mye mer enn Hord uttalelse innebærer. Jeg håper du tilgi meg et kort, men lidenskapelig snakke sint og høyt ...

1. Det er ikke bare føderalt ansatte som trenger mer enn en gang-en-årig utdanning. Det samme gjelder for alle, inkludert ansatte (ansatte, ledere, IT-profesjonelle, temps, entreprenører, konsulenter, revisorer ...), studenter, pensjonister folk og andre ordinære medlemmer av allmennheten. Og ja, selv CISSPs. En gang-en-år opplæringen faller veien kort over hva enhver rasjonell profesjonell ville kalle Continuous Professional Education.

2. Hva er "bevissthet opplæring" likevel? I min erfaring, er det ledelsen doublespeak til et foredrag av soldater - en kringkaste en preken kanskje, men nesten alltid langtekkelig, kjedelig og verre enn det, irriterende for alle berørte. Management komme til tut av på de ansatte om hva de bør og ikke bør gjøre. De lå nede Selskapsrett, vanligvis med implisitte eller eksplisitte trusler å denge meldingen hjem. Slike økter ta tid ut av opptatt worklives, og deltok under sufferance (ikke fordi publikum faktisk ønsker å gå sammen og lære nye ting, men fordi de er fortalt på ingen usikre vilkår at de "bare må gå"). Conceited eller naiv ledere tick kompatibilitetssøket boks som sier "Sikkerhet oppmerksomhet - ferdig" og gå inn på "viktigere ting". I realiteten Hva jeg snakker om er verken oppmerksomhet eller opplæring. Det er en amatør forsøk på brainwashing. Det viser en utrolig mangel på kreativitet og forståelse av menneskets psykologi. Det eneste motivasjonen det oppnår er å oppmuntre ansatte (og jeg vedder enkelte ledere ) for å finne måter å unngå fremtidige økter.

3. IT does tilstede stadig skiftende utfordringer, men vi også gjør organisasjonen sin virksomhet, de kommersielle og regulerende miljøet, menneskene, kompatibilitetssøket forpliktelser, konsekvensene av svikt er hackere er malware, den kriminelle, for konkurrenter er kolleger, partnere ... Oh, og slik er det ikke bare et spørsmål om IT-sikkerhet. Informasjonssikkerhet tar i åpenbare ting som indiskret samtaler og forlate sensitive papirer på offentlig transport, men mer subtly det gjelder å beskytte informasjon eiendeler bordtennis informasjonen innhold, mening, den kunnskap, kompetanse og erfaring - hvor går veien utover data eller IT.

Sikkert nå vi alle vite årlige oppmerksomhet økter bare fungerer ikke. Det er egentlig ikke vanskelig å rote gigantisk hull i konseptet, men hvorfor virker dette latterlig "årlige bevissthet" ting nekte å legge ned og dø? Jeg tviler noen CISSP ville alvor hevder at subjecting ansatte til en " oppmerksomhet opplæringen "(hva som kan være) kommer til å oppnå noe fordelaktig siste av de første ukene, dager, timer eller minutter, enn si vedvarer frem til neste års sesjon. Vil du at noen skal kjøre bil på grunnlag av en "driving oppmerksomhet opplæringen" en gang i året? Vil du gjerne ikke ansiktet maske og plassere de mest verdifulle personlige eiendeler i hendene på en kirurg som har en "kirurgi oppmerksomhet opplæringen" nesten et år siden? Det er helt gal, men det holder kommer opp som en fryktede zombie tilbake fra graven for å hjemsøke oss.

Hva opptar meg mest, er at bare gjenta setning (som jeg setter pris på, ironisk, er akkurat det jeg nå gjør) "årlige sikkerhet oppmerksomhet treningsøkter" furthers myten at det er hva som menes med sikkerhet oppmerksomhet og / eller sikkerhet og opplæring, som er faktisk ganske forskjellige ideer. Verre fremdeles, ettersom vi alle vite at disse årlige sesjonene er verdiløse og ulidelig bortkastet tid, det betyr at både sikkerhet bevissthet og sikkerhet opplæring er også verdiløs og utålelig. DOH! Det er et klassisk eksempel på å kaste babyen ut med bad vann.

Tenk for en ny moderne fly og pilot. Cockpiten er fylt full av de mest fantastiske tekniske wizzardry, laget for å gjøre flyr som sikker, kostnadseffektiv og generelt hyggelig som mulig for alle involverte, en stor del av dem er laget for å gjøre pilotversjonen jobb enklere og enklere enn noensinne ... ennå vi ikke lar bare noen sitte i den varme sete og flyr oss til Barbados. Piloter gjennomføre intensive kurs på bakken før du tar til himmelen, og er nødvendig for å klokke så mange timer flying erfaring før de blir gitt privilegienivået å bli et kvalifisert pilot - og ja det er et privilegium som bærer et tungt ansvar. De har mer on-the-job trening og Flight Simulator oppgaver å fullføre, og regelmessige undersøkelser for å holde seg oppdatert med den nyeste teknologien, flight regler og så videre, i hele sin karriere. De møtes og snakke med andre piloter, tar interesse i nye risikoer og muligheter i å fly. De utvikler en veldig personlig lidenskap eller kjærlighet for hva de gjør. De få det.

OK, nå veksle scener til gjennomsnittet corporate "sluttbruker" (sikkert en pejorative sikt, men ganske apt i denne sammenheng) - stort untrained nesten alltid ubetinget og likevel satt der i den varme seat leker med bedrifts-og personopplysninger eiendeler med knapt en tanke som deres beskyttelse eller sikkerhet. PC er kun et redskap for ham, en som tilhører den onde aksjeselskap som gjør ham til arbeidet for en lever. Er vi overrasket over at de ikke får den i det hele tatt, selv rett etter en av de fryktelige "årlige oppmerksomhet treningsøkter"?

Høyre, slår scener igjen til den klassiske geek hacker, alle tatoveringer og piercings og svart hoody - selv erfarne, kunnskapsrike, engasjerte og ja intenst lidenskapelig om hva han gjør, med en dyp fascinasjon og respekt for teknologi. Hans PC er en kunst , en ting av glede, et alter selv. Han inhabits en parallell universet for sluttbrukeren. Når sluttbruker-mann banker utenfor arbeid 5pm og traipses dejectedly hjemme, det siste han ønsker å gjøre er å "sitte foran den blodig PC all night ", mens det er akkurat hva geek-hacker nyter mest. Straks bytes start flying, den endorphins frigis og før han vet det, er det morgen og tid til å bli klar for arbeid.

I datasikkerhetseksperter vilkårene, er det en alvorlig urettferdig kamp. I det blå hjørnet, sluttbrukerstøtte man bare ønsker å gjøre jobben og har et lett liv. I det røde hjørnet, geek hacker ønsker å eie sitt b0x, og har verktøy, kompetanse og motivasjon til å få det (og i disse dager, noen ønsker å betale ham store penger for å gjøre det for ham). mellomtiden fattige gamle sikkerhet manageren gjør sitt beste for å Gee opp sluttbruker-mann fra sidelinjen, men vet det ikke skal være en pen avslutning.

Vel kanskje jeg har seriøst over-stretch som analogi og tatt parodi for langt, men det jeg virkelig ute på er at sluttbruker-mann desperat behov effektiv informasjonssikkerhet oppmerksomhet og opplæring til:

• Informere ham om informasjonen sikkerhetsrisikoer alle rundt ham, i form han kan forholde seg til;
• Vis ham hvordan du gjenkjenne og håndtere disse risikoene, i pragmatiske betingelsene han faktisk kan bruke;
• Gir seg de ferdigheter og verktøy til å gjøre ting sikkert, og forstand til å rapportere ting som er åpenbart ikke riktig;
• Motivere ham til å ta en interesse i å beskytte både aksjeselskap informasjonen eiendeler og sin egen;
• Minn ham av hans forpliktelser, dvs. ansvarlighet og ansvar overfor oppfører seg sikkert;
• Lys som gnist av lidenskap, som interesse og følelse av kontroll over sin egen skjebne, som vil gjøre ham til å ta kampen til det andre hjørnet. Fram til og med mindre vi får til dette stadiet constently og repeatably "oppmerksomhet opplæring" er dømt. Vi vil aldri lage en sikkerhets-kultur ved shouting den ansattes earholes en gang i året.

That's it, slappe av, snakke sint og høyt over. Nå er det din tur. Hva gjør du tror?




Mer ...