Jag har läst och tänker i dag om en reviderade NIST Special Publication SP800-16, Nu släppts för allmänheten kommentar. Om du är genuint intresserad av att säkerhetsmedvetandet effektivare, rekommenderar jag att avsätta en timme eller tre att läsa och behandla förslaget till dokumentet.

Att fundera över, här är bara några korta stycken från ett avsnitt i förslaget, med mina egna tankar och synpunkter som anges nedan.

Under punkt 2.2.1 SP800-16, säger NIST:

"Kunskap är inte utbildning (1). Säkerhetsmedvetandet är ett blandat lösning av verksamhet (2) att främja säkerhet, fastställa ansvar och informera personalen om säkerhet Nyheter (3). Medvetenhet syftar till att fokusera en individuell uppmärksamhet på en fråga eller ett uppsättning frågor (4). Syftet med medvetenhet presentationer är helt enkelt att rikta uppmärksamheten på säkerhet (4). Awareness presentationer är att tillåta enskilda att känna oro informationssäkerhet och svara därefter. (2)

Medvetenhet verksamhet eleven är mottagare av information, medan den lärande i en utbildningsmiljö har en mer aktiv roll. (2) medvetenhet skapas för att nå breda målgrupper med attraktiv förpackning tekniker. Utbildningen är mer formell, med ett mål att bygga upp kunskaper och färdigheter för att underlätta arbetsinsats. (5)

Några exempel på medvetenhet om informationssäkerhet material / aktiviteter inkluderar:
• Händelser, såsom en informationssäkerhet dag,
• Briefings (program-eller system-specifik eller utfärda-specifik)
• PR-specialmedia prydnadssaker med motiverande slogans,
• En banner säkerhet påminnelse om datorskärmar, som kommer upp när en användare loggar in,
• säkerhetsmedvetandet videoband, och
• Affischer och flygblad. (6)

Effektiv information säkerhetsmedvetandet insatser måste utformas med erkännandet att människor tenderar att praktisera en tuning-ut process som kallas acklimatisering. Om en retning, ursprungligen en vikt-getter, används upprepade gånger, kommer den lärande ignorera selektivt stimulus. (6) Därför måste medvetenheten leveransen ske löpande, kreativ och motiverande, med målsättningen att fokusera elevens uppmärksamhet så att lärandet kommer att ingå i medvetet beslutsfattandet. Detta kallas assimilation, en process där en individ införlivar nya upplevelser i ett befintligt beteende mönster. (3 & 5)

Lärande uppnås genom en medveten aktivitet tenderar att vara kortsiktiga, omedelbara och konkreta. Till exempel: om en lärande mål är att "underlätta ökad användning av effektiva lösenordsskydd bland de anställda," en medvetenhet verksamhet kan komma att använda påminnelse klistermärken på datorns tangentbord. (7)

Det grundläggande värdet av medvetenhet informationssäkerhet program är att de skapat förutsättningarna för att anordna utbildning och rollbaserad utbildning genom att åstadkomma en attitydförändring som måste börja ändra organisationskulturen. Den kulturella förändring eftersträvas (8) är insikten om att informationssäkerheten är viktig eftersom en säkerhet inte kan få negativa konsekvenser för alla. Därför är informationssäkerhet allas jobb. (9) "

Mina kommentarer:

(1) Begreppen "medvetenhet", är "utbildning" och "utbildning" används ofta omväxlande och ibland i kombination, som i "medvetenhet utbildning". De är dock olika aktiviteter med olika mekanismer och syften. SP800-50 "Att bygga ett IT Security Awareness and Training Program" omfattar denna punkt ganska talande, bättre i verkligheten än SP800-16 och FISMA som binder sig i knop över terminologin.

(2) Om du kan läsa förbi mycket missbrukat andra ord "blandade lösningen av verksamhet", är den punkt som medvetande kräver ett antal separata men kompletterande verksamheter - och med ordet "verksamheter" menar jag saker som involverar fysiska handlingar av både informationen Givers och mottagare information. Jag talar om aktivt lärande, inte passiv underhållning eller "edutainment". Den viktigaste delen av en utbildning är inte att presentera bilder eller annat material, presentatören, anläggningen eller publiken: det är engagemang, intresse och interaktion som händer när personer i publiken blivit inspirerade att tänka på och sedan bestämma vad de ska gör därefter. Insatser säger mer än ord.

(3) Att informera, med andra ord att ge relevanta fakta om risker information säkerhet och kontroll, är en viktig del av medvetenhet, utbildning och utbildning, men är inte i sig tillräckligt i de flesta fall. Lärd men tråkig och torr faktablad har begränsad effekt och kan vara kontraproduktivt. Nyheter är bara ett sätt att få information säkerhet till liv, och påminna folk om att vi inte talar rent hypotetiskt om säkerhetsincidenter. De är verkligen händer runt omkring oss, och inte bara ute i nyhetsrubrikerna, men mycket närmare oss, påverkar oss, våra kollegor, vänner och familjer, och naturligtvis vår organisation och samhälle. Få personliga frågor som informationssäkerhet är ett bra sätt att engagera människor.

(4) Focus är viktigt. Generic, bland "bli säkrare" meddelanden är ett totalt slöseri med hjärnan cykler. Människor måste veta vad, specifikt bör de vara orolig för och vad de ska göra ... Men först måste öppna upp för att även ta emot meddelandet. Få folk att "vakna upp och känna lukten av kaffe" är ett alternativ men är inte det enda sättet (jag talar om andra metoder ett annat tillfälle). Focus, för mig, även få rakt på sak - är direkta och undvika onödiga fluff eller felaktigheter. Den innehåller också välja om särskilda ämnen informationssäkerhet, som ger mer djup än vad som är typiskt för dem rusade säkerhet introduktionsutbildningen klasser.

(5) bygga upp kunskap och färdigheter för att förbättra prestationen i arbetet är mycket bra men har föga värde om inte människor faktiskt använda de kunskaper och färdigheter när de kommer tillbaka till arbetet. Åstadkomma detta är den springande punkten effektiv medvetenhet, utbildning och utbildning. Om inte människor tas bortom den punkt där enbart cisterner för fakta och är motiverade att bete sig mer säkertÄr programmet kommer inte att förtjäna dess hålla.

(6) Lägg märke till att "tvinga anställda att sitta ner en masse i en täppt mötesrummet eller föreläsningssal medan några tråkiga IT geek eller aningslösa chef pipar bort om informationssäkerhet" inte finns med i NIST: s lista över värdefulla aktiviteter, men är inte långt ifrån sanningen i vissa organisationer! Medvetenhet, utbildning och utbildning tar kreativitet och passion. Det är inte så svårt egentligen.

(7) Med fokus på omfattningen av ett enda medvetande verksamhet omfattar bara en enda kontroll informationssäkerhet kanske borde om att en kontroll är iögonenfallande inte men det verkar osannolikt att täcka hela bredden av säkerhetskontrollerna att anställda ska förstå och respektera, i någon rimlig tidsram. Koppling denna punkt med kommentarer om att hålla innehållet intressant innebär att jag måste springa ganska snabbt genom en sekvens av frågor, att gå vidare på eller strax före den punkt att ögonlocken börjar sloka. Denna idé om ett rullande medvetenhet program, enligt min erfarenhet, som gör hela skillnaden, men det finns ytterligare en liten punkt att komma ihåg. "Sekvenserna" kan vara slumpmässig eller riktad. Ett slumpmässigt urval av ämnena som säkerhet kan uppnå önskad täckning men missar möjligheten att koppla samman flera på varandra följande frågor i en mer enhetlig säkerhet historia. Att vara smart om ordningsföljd och omfattningen av de frågor som leder till en mer subtil form av den gamla lärarens såg "Säg vad du tänker berätta, berätta för dem och sedan berätta för dem vad du sa till dem". Vi kan införa framtida ämnen och går tillbaka till tidigare teman, samtidigt som levererar detta ämne. Den interrelatedness av ämnena som säkerhet gör det ganska lätt att åstadkomma med bara lite eftertanke och planering. Fördelen är en sådan samstämmighet och förstärkning att slumpmässiga sortimenten inte når.

(8) Nu finns det en tanke: vi söker "kulturell förändring" är vi? Bra idé, en jag helt instämma ... men tyvärr för många chefer, är säkerhetsmedvetandet mindre om att uppnå kulturell förändring än om att "vara inloggad för att kunna göra något" eller, ännu värre, "gör det för efterlevnaden skäl". Hälso-och säkerhetsutbildning befinner sig i samma pickle. Effektiv H & S utbildning har en bestående inverkan på vad de anställda gör som de går på sin normala affärsverksamhet, långt efter det att bläcket har torkat på formulären bedömning av utbildningen. Det handlar om att sätta på örat hörselkåpor och skyddsglasögon även när det finns ingen annan ser. Det innebär att ta en stund att ta itu med en resa fara i en allmän genomfartsväg även när du själv har klart fläckiga och undvika faran. Uppnå kulturella förändringar för att skapa en "säkerhetskultur" är ett fantastiskt mål, en som är mycket lättare att säga än att göra. För mig går det lite längre än något förenklad om viktiga idéer angivits i avsnitt 2.2.1, plocka upp begrepp som:

• Som ger kontinuitet - planering medvetenhet verksamhet pÃ¥ lÃ¥ng sikt (och jag inte betyder "Planering nästa Ã¥rs säkerhetsmedvetandet session '!);
• Riktas mot hela organisationen (personal och chefer), i själva verket omfattning kan med fördel täcka den utökade organisationen inklusive vänner och släktingar till anställda, entreprenörer / konsulter, outsourca leverantörer, kunder, leverantörer, samarbetspartners, andra aktörer och, i viss mÃ¥n, samhälle breda
• Använda kreativitet för att skapa intresse och engagera människor med programmet, och behÃ¥lla detta intresse pÃ¥ obestämd tid;
• Vara känslig för kulturella normer, kommunikationer inställningar och sÃ¥ vidare för publik - märke till plural: det föga meningsfullt att koncentrera all verksamhet säkerhetsmedvetandet i en homogen mÃ¥lgrupp när vi vet mycket väl att affärsenheter, avdelningar, team och individer varierar kraftigt i mÃ¥nga viktiga avseenden. "Sälja" iakttagandet av upphovsrätt till, säg, en indisk eller kinesisk affärsenhet är en helt annan möjlighet att fÃ¥ samma punkt över till en skandinavisk organisation. För vissa människor är 3 minuter höga översikt mer än tillräckligt, för andra, 3 minuter skulle vara alldeles för lite för den kortaste av introduktioner;
• Med publik engagemang till den grad aktiv publik deltagande, till exempel uppmuntra chefer, IT-personal och anställda för att samtala om samma informationssäkerhet ämne, sätter sina respektive stÃ¥ndpunkter inom ramen för en gemensam förstÃ¥else av termer och begrepp är inblandade.

(9) Om "informationssäkerhet är allas jobb", borde det ligga i allas befattningsbeskrivningar - inte en dålig idé i sig men jag tycker det finns lite mer att göra. "Informationssäkerhet är allas ansvar" tar det ett steg längre eftersom det inte är enbart en arbetsrelaterad sak, och antyder en viktig säkerhetskoncept, som ägande, ansvar och ansvar. "Informationssäkerhet är vad vi gör" kan vara lite överdrivet, men jag föredrar ordet "vi" i det eftersom det är helt klart ett delat ansvar. [Bråkar om den specifika innebörden och nyans av varje ord har en anstrykning av galna processen att utveckla affärsidé uttalanden. Däremot är diskussionen åtminstone om inte mer värdefull än produkten, ungefär som planering och planer. Diskutera sådana säkerhet principer leder till en gemensam förståelse och är ett bra sätt att engagera chefer med vetskapen om programmet.]

Rätt, är det avsnittet 2.2.1 beaktas. Jag slutar här för nu, medan behandlingen av den återstående 156 sidorna som en övning för dig kära läsare - läxa om du vill. NIST välkomnar synpunkter på förslaget SP800-16 fram till 26 juni 2009 via e-post till 800-16comments@nist.gov.

Med vänlig hälsning,
Gary Hinson
NoticeBored




Mer ...