Hord Tipton цитируется в довольно сжатый кусок от GovInfoSecurity ссылаясь на "необходимость предоставления федеральных служащих ознакомления чаще чем один раз в год из-за постоянно меняющихся задач ИТ-безопасности представляет". Право на Hord! Я знаю, я цитировании небольшую выдержку из короткого кусок о прессе интервью, но все же существует гораздо больше, чем Hord заявление влечет за собой. Я надеюсь, вы простите меня короткий, но страстный декламировать ...

1. Это не только федеральных служащих, которые нуждаются в более чем один раз в год подготовки. То же самое относится и ко всем лицам, включая работников (сотрудников, менеджеров, ИТ-профессионалов, время, подрядчиков, консультантов, аудиторов ...), студенты, пенсионеры и других рядовых членов общественности. И да, даже CISSPs. раз в год тренинга входит пути меньше, чем какой-либо рациональной профессиональных потребует непрерывного профессионального образования.

2. Что такое "подготовки" в любом случае? По моему опыту, это управление демагогии на лекции в войска - в эфире, а проповедь, возможно, но почти всегда утомительно, скучно и хуже, чем о том, что раздражает до всех заинтересованных сторон. Управленческой добраться носик Off на работников о том, что они должны или не должны делать. Они устанавливают корпоративного права, как правило, подразумевает, или явные угрозы трэш сообщение домой. Такие сессий время из занят worklives, а также принимают участие в соответствии с молчаливого (а не потому, что публика на самом деле хотят идти вместе, и изучать новые вещи, но и потому, что они говорят, в недвусмысленных выражениях, что они "просто идти"). тщеславный или наивных руководителей галочку соблюдения окно с надписью "повышению информированности в области безопасности - сделали" и перейти на "более важные вещи". В действительности , то, что я говорю это не информированности, ни профессиональной подготовки. Это любительский попытка мозгов. Он демонстрирует удивительное отсутствие творческого подхода и понимание человеческой психологии. Единственная мотивация достигает заключается в том, чтобы поощрять сотрудников (и, я пару, некоторые руководители ), чтобы найти способы, чтобы избежать будущих сессиях.

3. Это действительно настоящий постоянно меняющихся задач, а так же организации, ее бизнеса, коммерческая И нормативной среде, люди, за соблюдением обязательств, последствия провала, то хакеры, то вредоносная программа, преступники, конкурентов , с коллегами, партнерами ... Ну и, кстати, это не только вопрос безопасности. Информационной безопасности принимает на очевидные вещи, такие, как нескромный разговоров и оставив чувствительных документов по общественным транспортом, но более тонко это касается защиты информационных активов, то есть информацию, содержание, смысл, знания, опыт и знания - путь, который выходит за рамки данных или ИТ.

Безусловно, сейчас мы все знать ежегодных сессиях осведомленности просто не работают. Это совсем не сложно совать гигантских дыр в концепции, но почему это смешно "годовая информированности" вещь отказываются сложить и умереть? Я сомневаюсь, любой CISSP серьезно утверждают, что подвергает работников на " подготовки сессии "(любой, которые могли бы быть) намерена добиться ничего пользу последних нескольких первых недель, дней, часов или минут, не говоря уже о сохраняться до тех пор, пока на следующей сессии. ли вам кто-то разрешить водить машину исходя из "движущая подготовки сессии" один раз в год? Будете ли вы счастливы Дону лицо маску и оформить наиболее ценные личные активы в руки хирурга, который сделал "операцию подготовки сессии", почти год назад? Это совершенно орехи, Тем не менее, сохраняет ближайшие вверх подобно ужасной зомби из могилы преследовать нас.

Что касается меня самой, что лишь повторить фразу (которую я ценю, как это ни парадоксально, это именно то, что я сейчас делаю) "ежегодные безопасности учебных сессий" способствует миф о том, что все это означает безопасность населения и / или профессиональной подготовки по вопросам безопасности, который на самом деле отличается идей. Что еще хуже, так как мы все знать что эти ежегодные сессии является бесполезной и невыносимая трата времени, это означает, что безопасность населения и подготовки по вопросам безопасности, также бесполезны и невыносимый. Дох! Это классический пример того, бросая ребенка в ванну с водой.

Рассмотреть вопрос о проведении второго современного самолета и его пилота. Кабина чучела полный самых удивительных технических wizzardry, призванной сделать полет безопасным, экономически эффективным и в целом приятный, насколько это возможно для всех участников, большая часть из них предназначена для повышения пилота работу проще и легче, чем когда-либо ... но мы не позволим никому просто сесть в кресло и горячей летать нам Барбадос. Пилоты проведения интенсивных курсов подготовки на местах еще до принятия на небе, и тогда требуется часы так много часов налета опытом, прежде чем ему будет предоставлен привилегию стать квалифицированным экспериментальный - да и это является большой честью, что влечет за собой большую ответственность. Они также по месту работы и подготовки кадров Flight Simulator упражнений для полного и регулярного взносов держать их в курсе новейших технологий, правила полетов и так далее, на протяжении всей своей карьеры. Они встречаться и общаться с другими пилотами, принимая заинтересованы в новых рисков и возможностей в полет. Они разрабатывают очень личная страсть и любовь за то, что они делают. Они получить.

Хорошо, теперь переключить сцены со средней корпоративной "конечного пользователя" (безусловно, является уничижительным термином, но довольно кв в данном контексте) - в основном необученные, почти всегда неквалифицированных и еще сидели в горячей место игры с корпоративной и личной информации активов с трудом мысль, как на их защиту и безопасность. ПК является всего лишь инструментом для него, который принадлежит корпорации зла, что делает его работу в живых. Мы удивлены они не получают ее вообще, даже после одного из те страшные "Ежегодный информационно тренингов"?

Да, сцены снова переключиться на классический компьютер хакера, все татуировки и пирсинг и черный hoody - Self обученных, знающих, совершенные и интенсивно да любите то, что он делает, с глубоким восхищение и уважение к этой технологии. Его компьютер является художественная форма , уходит радость, даже в алтаре. Он обитает параллельной вселенной для конечного пользователя. Когда конечного пользователя человек стучит от работы в 5 вечера и traipses dejectedly дома, последнее, что он хочет делать это "сидеть в передней части кровавый PC всю ночь ", а это именно то, что компьютер-хакера пользуется большинство. После того, как начать полеты байт, то endorphins выпускаются и до того, как он знает, что это рассвет и времени, чтобы приготовиться к работе.

В компьютерной безопасности термин, что это серьезно бороться с несправедливым. В синий угол, конечного пользователя человек просто хочет делать свою работу, и просто жизнь. В красном углу, компьютер хакера хочет владеть его b0x и инструменты, знания и мотивацию, чтобы он (и в эти дни, кто-то хочет заплатить ему серьезные деньги, сделать это за него). Между тем, бедные старые безопасности менеджер делает все возможное, чтобы Джи вверх конечного пользователя человек со стороны, но знает, там нет будет достаточно, закончившейся.

Ну, возможно я серьезно чрезмерную нагрузку, что аналогия и приняла пародии слишком далеко, но то, что я действительно получаю в том, что конечный пользователь-мужчина отчаянно нуждается эффективного информационного обеспечения населения и подготовке кадров для:

• Сообщите ему о рисках информационной безопасности, все вокруг него, с точки зрения он может касаться;
• Показать ему, как распознавать и решать те риски, в прагматичной точки зрения он может реально использовать;
• Дайте ему навыки и инструменты делать вещи надежно, и смысла сообщать вещи, которые явно не права;
• Мотивация ему играть в защите интересов как корпорации информационных активов и собственного;
• Напомните ему о его обязательствах, а это означает, подотчетность и ответственность за себя безопасно;
• Легкие, что искра страсти, что интерес и чувство контроля над собственной судьбой, что позволит ему взять на себя борьбу с другим углом. До тех пор, пока мы к этому этапу, constently и repeatably, "ознакомление" обречено. Мы никогда не создать культуру безопасности в выкрикивали его работников earholes один раз в год.

Вот-вот, расслабьтесь, декламация старше. Теперь ваша очередь. Что делать вы думаете?




Подробнее ...