Hord Tipton é citado em uma peça bastante conciso sobre GovInfoSecurity referindo-se à "necessidade de proporcionar treinamento de sensibilização dos trabalhadores federais com mais freqüência do que uma vez por ano, devido à sempre em mutação apresenta desafios de segurança TI." Right-on Hord! Sei que estou citando um pequeno excerto de uma curta peça sobre uma prima entrevista, mas ainda há muito mais a ele do que a declaração do Hord implica. Espero que você perdoe-me um breve discurso retórico, mas apaixonada ...

1. Não é apenas federal empregados que precisam de mais do que uma vez por ano de formação. O mesmo se aplica a todos, incluindo os empregados (colaboradores, gestores, profissionais TI, temps, empreiteiros, consultores, auditores ...), estudantes, reformados e outros membros ordinários do público em geral. E sim, mesmo CISSPs. Uma vez que-um-ano treino cai maneira racional curto do que qualquer profissional que chamaria Continuous Educação Profissional.

2. Qual é a "consciência profissional" afinal? Na minha experiência, é a gestão da dupla para uma palestra na tropas - uma emissão, talvez um sermão, mas quase sempre entediante, aborrecido e pior do que isso, irritando a todos os interessados. Gestão de chegar ao bico largo na obra sobre o que eles deve e não deve fazer. Eles estabelecem o direito societário, normalmente com ameaças implícitas ou explícitas para derrotar a mensagem. Essas sessões levam tempo fora de ocupado worklives, e são atendidas em sofrimento (e não porque o público realmente quer ir junto e aprender novas coisas, mas porque lhes é dito, em termos inequívocos, que "só tem que ir"). vaidoso ou ingênuo gestores assinale a caixa que diz respeito "Segurança consciência - feito" e avançar para "coisas mais importantes". Na realidade , do que estou falando, não é nem conhecimento nem formação. Trata-se de uma tentativa de lavagem cerebral amador. Ela mostra uma surpreendente falta de criatividade e de compreensão da psicologia humana. A única motivação que realiza-se a encorajar a equipe (e, aposto, alguns gestores ) para encontrar maneiras de escapar futuras sessões.

3. IT facto presentes sempre em mutação desafios, mas também não a organização, o seu negócio, o ambiente comercial e regulamentar, as pessoas, as obrigações, as consequências de um fracasso, os hackers, o malware, os criminosos, os concorrentes , os pares, os parceiros ... Ah, e, a propósito, não é apenas uma questão de segurança das TI. Informações de segurança leva em coisas óbvias, como indiscreta conversas e deixando papel sensível nos transportes públicos, mas mais sutil que diz respeito a proteger informações activos, ou seja, o conteúdo de informação, o sentido, os conhecimentos, competências e experiência - que vai muito além dos dados ou TI.

Certamente que até agora todos nós saber sessões anuais sensibilização simplesmente não funcionam. É muito duro para não fure buracos gigantes no conceito, mas porque é que esta ridícula "anuais consciência" que se recusam a estabelecer-se e morrem? Duvido seriamente qualquer CISSP alegam que submetam trabalhadores a um " sessão de treino de sensibilização "(independentemente do que possa ser) vai conseguir nada benéfico passado as primeiras semanas, dias, horas ou minutos, sem falar persistir até a próxima sessão do ano. Poderia permitir que alguém a conduzir um carro com base em um "condução sensibilização sessões de formação", uma vez por ano? Quer ser feliz para não escondem o rosto e colocar seus mais valiosos bens pessoais nas mãos de um cirurgião que fez uma "cirurgia sensibilização treino" quase um ano atrás? É totalmente nozes, ainda mantém a subir como um zumbi temida volta do túmulo para assombrar-nos.

O que me preocupa mais é que simplesmente repetindo a frase (que eu aprecio, ironicamente, é exatamente o que estou fazendo agora) "anual de segurança conscientização treinamentos" reforça o mito de que isso é o que se entende por consciência de segurança e / ou de segurança formação, que são, de facto, bastante distintas idéias. Pior ainda, desde que todos nós saber que estas sessões anuais são inúteis e insofrível um desperdício de tempo, isso implica que tanto a segurança de sensibilização e de formação de segurança também são inúteis e insuportável. Doh! Isso é um exemplo clássico de atirar fora o bebé com a água do banho.

Considere por um segundo as modernas aeronaves e seus pilotos. O cockpit é recheado integral das mais surpreendentes técnicas wizzardry, concebido para fazer voar como segura, rentável e geralmente agradável possível para todos os envolvidos, uma grande parte delas destinadas a tornar o piloto do trabalho mais simples e mais fácil do que nunca ... Mas não basta deixar que alguém se sentar no banco quente e mosca-nos Barbados. Pilotos comprometem intensa cursos de formação sobre o terreno antes mesmo levando para os céus e, em seguida, são necessárias muitas horas de relógio, voando experiência antes de ser concedido o privilégio de se tornar um piloto qualificado - e sim, é um privilégio que carrega uma pesada responsabilidade. Têm ainda mais on-the-job training e simulador de vôo para realizar exercícios e avaliações periódicas para mantê-los actualizados com as últimas tecnologias, as regras de voo e assim por diante, durante toda a sua carreira. Reúnem-se e conversar com outros pilotos, tendo um interesse em novos riscos e oportunidades em voar. Desenvolvem uma muito pessoal paixão ou amor por aquilo que fazem. Eles obtê-lo.

OK, agora alternar cenas à média corporativa "usuário final" (certamente uma expressão pejorativa, mas, muito apt neste contexto) - grande parte bisonho, quase sempre sem reservas e ainda sábado lá no "assento quente" brincar com as informações pessoais e corporativos com pouco activos um pensamento como a sua protecção ou de segurança. O PC é apenas uma ferramenta para ele, um mal que pertence à corporação que faz dele um trabalho para viver. Estaremos surpreso que não obtê-lo em tudo, mesmo depois de um direito de aquelas terríveis "anuais sensibilização treinamentos"?

Certo, cenas mudar novamente para o clássico geek hacker, todas as tatuagens e piercings e preto hoody - auto treinados, conhecedores, empenhados e sim intensamente apaixonado sobre o que ele faz, com um profundo respeito e fascínio pela tecnologia. Seu PC é uma forma de arte , uma coisa de alegria, um altar mesmo. Ele habita um universo paralelo ao usuário final. Quando o utilizador final, o homem rouba o trabalho em 5 e traipses dejectedly casa, a última coisa que ele quer fazer é "sentar na frente do sangrenta PC toda a noite ", que é exatamente aquilo que mais gosta de nerd-hacker. Após o início bytes voar, o endorfinas são liberadas antes e ele sabe isso, é da manhã e tempo para se preparar para o trabalho.

Em termos a segurança de computadores, é uma luta a sério desleal. No canto azul, utilizador final, o homem só quer fazer o seu trabalho e ter uma vida fácil. No canto vermelho, geek hacker quer o seu próprio b0x, e tem as ferramentas, competências e motivação para obtê-lo (e estes dias, alguém quer pagar-lhe graves dinheiro para fazê-lo para ele). Entretanto, o pobre velho gerente de segurança faz o seu melhor para gee até ao utilizador final, o homem de bastidores, mas sabe que não é vai ser um lindo final.

Bem talvez eu seriamente sobre-esticadas que analogia e tomado a paródia muito longe, mas o que eu sou realmente chegar é que o utilizador final-homem precisa desesperadamente segurança da informação eficaz de sensibilização e de formação para:

• Informá-lo sobre as informações riscos de segurança ao redor dele, em termos que ele pode referir-se;
• Mostre-lhe a forma de reconhecer e enfrentar os riscos, em termos pragmáticos ele realmente podem usar;
• Dá-lhe as competências e as ferramentas para fazer coisas bem, e no sentido de relatar coisas que manifestamente não é correcto;
• Motivá-lo a ter um interesse em proteger tanto a sociedade da informação e do seu próprio património;
• Relembre-lo das suas obrigações, o significado e responsabilidade para agir firmemente;
• Luz que centelha de paixão, que o interesse eo sentimento de controle sobre seu próprio destino, que permitirá a ele para levar a luta para o outro canto. Até ea menos que cheguemos a esta fase, constently e repeatably, "consciência profissional" está condenado. nós nunca vamos criar uma cultura de segurança por que o pessoal gritando "earholes, uma vez por ano.

Isso mesmo, relaxe, durante discurso retórico. Agora é sua vez. O que fazer você acha?




Leia mais ...