The UNIX and Linux Forums  
Olá e boas-vindas de Estados Unidos para o UNIX e Linux Forum! Obrigado por visitar e fazer parte da nossa comunidade global.

Go Back   O UNIX e Linux Forum > Especial Fóruns > Segurança > IT Security RSS
NIST SP800-16 - revised draft security training standard NIST SP800-16 - revista projecto de formação de segurança padrão
.
google unix.com

Fóruns Registar Fórum RegimentoLigaçõesÁlbuns FAQ Lista deputados Calendário Pesquisa Today's Posts Mark Forums Read


Mais UNIX e Linux Fórum Tópicos Você pode achar Helpfull
Fio Thread Starter Fórum Respostas Última postagem
NIST Special Publication (SP) 800-53 Rev. 3 (Initial Public Draft) iBot IT Security RSS 0 02-07-2009 12:40
Revised Slackware mantém simples iBot UNIX e Linux RSS Notícias 0 12-23-2008 03:20
Governo Segurança Standard Compliant Kickstarts 0.01 (Default sucursal) iBot Software Release - RSS Notícias 0 04-19-2008 02:30
Patrick Townsend & Associates Atinge NIST certificação de seu ... - Business Wire iBot UNIX e Linux RSS Notícias 0 06-18-2007 12:30
Problema de segurança com Standard Input? yall Programação Shell Script e 2 10-10-2006 10:04

 
English Japanese Spanish French German Portuguese Italian Dutch Swedish Russian Norwegian Hungarian Hebrew Danish Bulgarian Greek Powered by Powered by Google
 
Linkback Thread Tools Pesquisar este Thread Rate Thread Display Modes
Anterior Previous Post   Next Post Próximo
  #1 (permalink)  
Old 03-24-2009
iBot's Avatar
iBot iBot is offline
Fórum Robot Girl
  
 

Join Date: Sep 2000
Posts: 22.189
NIST SP800-16 - revista projecto de formação de segurança padrão
Fui ler e pensar hoje sobre um revista NIST Special Publication SP800-16, Atualmente liberada para comentário público. Se você estiver realmente interessado em fazer sensibilização de segurança mais eficaz, eu recomendo uma anulação ou três horas para ler e analisar o projecto de documento.

Para estimular o apetite, aqui são apenas alguns pontos a partir de uma curta secção do projecto, com os meus próprios pensamentos e comentários citados abaixo.

Nos termos do ponto 2.2.1 do SP800-16, NIST diz:
"A consciência não é de formação (1). Segurança sensibilização é uma solução mista de actividades (2) que promovam a segurança, a estabelecer a responsabilidade, e informar os trabalhadores da segurança notícias (3). Sensibilização visa centrar a atenção de um indivíduo sobre um assunto ou um conjunto de questões (4). O objectivo da sensibilização apresentações é simplesmente chamar a atenção sobre a segurança (4). Conscientização apresentações são destinados a permitir que os indivíduos reconhecem a preocupações de segurança da informação e responder em conformidade. (2)

Nas actividades de sensibilização do aluno é um receptor de informação, enquanto que o aluno em um ambiente de formação tem um papel mais activo. (2) A sensibilização depende de atingir amplas audiências com embalagem atraente técnicas. A formação é mais formal, com uma meta de construção de conhecimento e habilidades para facilitar o desempenho profissional. (5)

Alguns exemplos da segurança da informação, sensibilização materiais / actividades incluem:
• Eventos, como a segurança da informação um dia,
• Briefings (programa-ou-sistema específico ou emitir-específica)
• Promocional / especialidade berloques motivacionais com slogans,
• Um lembrete faixa de segurança no computador telas, que surge quando um usuário faz logon,
• Segurança sensibilização as cassetes de vídeo e
• cartazes ou folhetos. (6)

Eficazes os esforços de sensibilização de segurança da informação deve ser concebida com o reconhecimento de que as pessoas tendem a praticar um processo chamado tuning-out aclimatação. Se um estímulo, inicialmente uma atenção furona, é usado repetidamente, o aluno irá seletivamente ignorar o estímulo. (6) Assim, a consciência de entrega deve estar em curso, criativa e motivacional, com o objetivo de focalizar a atenção do aluno para que o aprendizado será incorporado na tomada de decisão consciente. Isso é chamado de assimilação, um processo através do qual um indivíduo incorpora novas experiências existentes em um comportamento padrão. (3 e 5)

Aprendizagem alcançados através de uma única consciência actividade tende a ser de curto prazo, medidas imediatas e concretas. Por exemplo, se um objectivo da aprendizagem é "para facilitar o aumento da utilização da senha de proteção eficaz dos trabalhadores", uma actividade de sensibilização pode ser a utilização de vinhetas lembrete para os teclados. (7)

O valor fundamental da segurança da informação, programas de sensibilização é que definir a fase de sensibilização e de formação com base em funções de formação, trazendo uma mudança de atitudes que deve começar a mudar a cultura organizacional. A mudança cultural procurado (8) é a realização de segurança da informação que é crítica, pois uma falha de segurança tem consequências potencialmente adversas para todos. Por isso, segurança da informação é todo o trabalho. (9) "

Meus comentários:

(1) Os termos "consciência", "formação" e "educação" são frequentemente utilizadas de forma indiscriminada e, por vezes combinadas, como em "consciência profissional". No entanto, são atividades diferentes, com diferentes mecanismos e efeitos. SP800-50 "Construindo um Information Technology Security Awareness and Training Program" abrange este ponto bastante eloquente, melhor do que na realidade SP800-16 e que FISMA empate em nós próprios sobre a terminologia.

(2) Se você pode ler o passado, a segunda palavra muito abusado de "blended solução de actividades", o verdadeiro ponto é que o conhecimento exige uma série de actividades distintas, mas complementares - e por "actividades" Digo coisas que envolvem ações físicas por ambas as as informações dadores e receptores da informação. Estou a falar de aprendizagem pró-activa e não passiva ou entretenimento "Edutainment". A parte mais importante de um curso de formação não é a apresentação slides ou outros materiais, o apresentador, a instalação ou a platéia: é o empenho, interesse e interação que acontece quando membros da platéia se tornarem inspirados a pensar e, em seguida, mudar o que eles fazer em seguida. Ações falam mais alto que as palavras.

(3) Informar as pessoas, por outras palavras, fornecendo fatos relevantes sobre os riscos e controlos de segurança da informação, é um elemento importante de sensibilização, formação e educação, mas não é por si só suficiente, na maioria dos casos. Eruditos, mas aborrecido e seco fichas têm um impacto limitado e pode ser contraproducente. Notícias são apenas uma forma de levar informações de segurança para a vida, lembrando as pessoas que não estamos falando apenas hipoteticamente sobre incidentes de segurança. Eles estão realmente se passa à nossa volta, e não apenas Out There nas manchetes, mas muito mais perto de casa, afetando nós, os nossos colegas, amigos e famílias, e naturalmente nossa organização e da sociedade. Obter informações pessoais sobre questões de segurança é uma boa maneira de interagir com as pessoas.

(4) Focus é importante. Genéricos, branda "ser mais segura" mensagens são um total desperdício de cérebros ciclos. As pessoas precisam de saber que, especificamente, deveriam ser e preocupado com o que devem fazer ... mas primeiro eles precisam de abrir o mesmo, a fim de receber a mensagem. Fazer as pessoas "wake up e cheiro do café" é uma opção, mas não é a única maneira (vou falar sobre outras técnicas outra vez). Focus, para mim, inclui chegar direto ao ponto - seja directa e evitando buço ou irrelevâncias. Inclui também mexendo com temas específicos de segurança da informação, proporcionando maior profundidade do que é típico daqueles apressados segurança indução formação classes.

(5) Construir conhecimentos e habilidades para melhorar desempenho profissional é tudo muito bem, mas tem pouco valor se as pessoas realmente usar os conhecimentos e as competências quando voltar ao trabalho. Conseguir isto é o cerne de uma efectiva sensibilização, formação e atividades educativas. A menos que as pessoas são tomadas para além do ponto de ser meros receptáculos de factos e estão motivados para comportar mais segura, O programa não vai ganhar o seu manter.

(6) Observe que "forçar empregados a sentar-se maciçamente em uma sala de reunião ou palestra stuffy teatro enquanto alguns escarear TI geek ou clueless gerente bicos fora sobre segurança da informação" não figura na lista de meritório do NIST atividades, mas não está longe da a verdade, em algumas organizações! Sensibilização, formação e educação ter criatividade e paixão. Isso não é realmente duro.

(7) Tendo em foco para a extensão de uma única atividade de sensibilização que abrangem apenas um único controlo de segurança da informação talvez possa ser necessário se que um controle está conspìcuamente não, mas parece improvável que cobrem todo o alcance dos controlos de segurança que os trabalhadores devem compreender e respeitar, em qualquer período de tempo razoável. Acoplamento este ponto com os comentários sobre como manter o conteúdo interessante para mim implica a necessidade de correr muito rapidamente através de uma seqüência de tópicos, a avançar a uma temperatura igual ou um pouco antes do ponto que começa a baixar as pálpebras. Esta ideia de um programa evolutivo de sensibilização, na minha experiência, faz toda a diferença, mas há pouco mais um ponto a ter em conta. "Sequências" pode ser aleatória ou dirigida. Um sortido aleatória de segurança da informação temas poderão alcançar a cobertura desejada, mas perde a oportunidade de interligar as sucessivas tópicos em uma história mais coerente segurança. Ser inteligente sobre a seqüência eo alcance dos tópicos leva a uma forma mais subtil do antigo professor da serra "Diga a eles o que você vai dizer a eles, diga-lhes, em seguida, dizer-lhes o que você disse a eles". Podemos introduzir futuro remetem para temas e tópicos anteriores, ao mesmo tempo oferece todos os presentes tópico. A interdependência dos temas de segurança da informação torna-o muito fácil de conseguir com um pouco de pensamento e de planejamento. A vantagem é um nível de coerência e de reforço aleatória sortidos que não realizam.

(8) Agora, há um pensamento: estamos procurando "mudança cultural" é que estamos? Grande idéia, um eu subscrevo completamente ... mas, infelizmente, para muitos gestores, a segurança é menos sensibilização sobre alcançar a mudança cultural que cerca de "estar fazendo algo para ser visto", ou, pior ainda, "fazer a sua conformidade razões". Saúde e segurança formação encontra-se no mesmo chuchuzinho. Eficaz H & S formação tem um impacto duradouro sobre o que eles vão fazer como trabalhadores sobre a sua actividade normal, muito tempo depois da tinta seca tem sobre a formação avaliação formulários. Trata-se de colocar na orelha muffs e óculos de segurança mesmo quando não há ninguém olhando. Significa ter um momento para lidar com uma visita perigo em uma via pública mesmo quando você tem claramente spotted e evitar o perigo. Atingir a mudança cultural para criar uma "cultura de segurança" é uma fabulosa objectivo, uma que é muito mais fácil de dizer do que fazer. Para mim, vai um pouco além das idéias bastante simplista se importante notar na secção 2.2.1, escolhendo-se conceitos tais como:

  • Proporcionar continuidade - planejamento actividades de sensibilização a longo prazo (e eu não significar "programação do próximo ano segurança sensibilização sessão '!);
  • Suprir toda a organização (pessoal e dos gestores), na realidade, o alcance poderão abranger a organização prorrogado incluindo amigos e parentes de funcionários, contratados / consultores, subcontratar fornecedores, clientes, fornecedores, parceiros comerciais, as outras partes interessadas e, em certa medida, a sociedade em geral
  • Usando criatividade para criar interesse e envolver as pessoas com o programa, e manter esse interesse indefinidamente;
  • Ser sensível às normas culturais, preferências comunicações e assim por diante para as platéias - note o plural: não faz muito sentido para concentrar todas as actividades de sensibilização sobre a segurança uma platéia homogênea quando sabemos perfeitamente que unidades de negócios, departamentos, equipes e indivíduos variam acentuadamente em muitos aspectos essenciais. "Vender" copyright cumprimento de, digamos, um indiano ou chinês unidade comercial é uma perspectiva bastante diferente para chegar ao mesmo ponto em toda a Escandinávia uma organização. Para algumas pessoas, a 3 minutos elevado nível panorama é mais do que suficiente: para outros, a 3 minutos não seria suficiente para a breve das introduções;
  • Tendo compromisso público com a extensão da participação activa audiência, por exemplo, incentivando a gestores, trabalhadores e Profissionais de TI para conversar sobre o mesmo tema segurança da informação, colocando os seus respectivos pontos de vista no contexto de uma compreensão partilhada dos termos e conceitos envolvidos.
(9) Se a "segurança da informação é todo o trabalho", quando deveria ser feito em todas as descrições - e não uma má idéia em si, mas sinto-me há um pouco mais para ela. "Segurança da informação é responsabilidade de todos" que tem um passo a mais, uma vez que não é meramente um trabalho relacionado com coisa, e dicas de segurança em um conceito fundamental, o da propriedade, responsabilidade e competência. "Segurança da Informação é o que fazemos" poderia ser um pouco excessivo, mas eu prefiro a palavra "nós" por aí, pois é claramente uma responsabilidade partilhada. [Discutir sobre o significado específico e nuances de cada palavra da roça louco processo de desenvolvimento corporativo missão declarações. No entanto, o debate é, no mínimo, se não mais valiosa do que o produto, e não como planejamento e planos. Discutir tais princípios de segurança leva a um entendimento comum e é uma boa maneira de envolver dirigentes com a consciência de programa.]

Certo, isso é ponto 2.2.1 devidamente considerados. Eu vou parar lá por agora, deixar de considerar as restantes 156 páginas, como um exercício para você caro leitor - casa se quiser. NIST congratula-se com observações sobre o projecto de SP800-16 até 26. De junho de 2009 por e-mail para 800-16comments@nist.gov.

Kind regards,
Gary Hinson
NoticeBored




Leia mais ...
 

Marcadores

« Dados Normalization | Computador Reutilização Optimisação Projeto »
Thread Tools Pesquisar este Thread
Pesquisar este Thread:

Pesquisa Avançada
Display Modes Esta taxa Thread
Threaded Mode Threaded Mode
Esta taxa Thread:

Destacamento Regimento
Você não pode postar novas threads
Você não pode postar respostas
Você não pode postar anexos
Você não pode editar suas postagens
BB code é Ligado
Smilies são Ligado
[IMG] código é Ligado
Código HTML é Desligado
Trackbacks são Ligado
Pingbacks são Ligado
Refbacks são Ligado



Todos os horários são GMT -4. A hora é agora 08:39.

The UNIX and Linux Forums - Learn UNIX and UNIX Commands RSS Feeds -- Fale Conosco -- O UNIX e Linux Forum - Aprenda UNIX e UNIX Commands -- Arquivo -- Topo

Powered by: vBulletinCopyright © 2000 - 2006, Jelsoft Enterprises Limited. Língua Traduções Powered by .
vBCredits v1.4 Copyright © 2007 - 2008, PixelFX Studios
O UNIX e Linux Fóruns Content Copyright © 1993-2009. Todos os Direitos Reserved.Ad Gestão por RedTyger

Content Relevant URLs por vBSEO 3.2.0