Hord Tipton citeras i en ganska Curt pjäs om GovInfoSecurity hänvisa till "Nödvändigt att federalt anställda utbildning oftare än en gång om året på grund av den ständigt föränderliga utmaningar som IT-säkerhet presenterar". Högerklicka på Hord! Jag inser att jag citerar ett litet utdrag ur en kort pjäs om en presskonferens intervju, men fortfarande finns det mycket mer än Hord uttalande innebär. Jag hoppas att du förlåter mig en kort men passionerad GORMA ...

1. Det är inte bara federala anställda som behöver mer än en gång om året utbildning. Samma sak gäller för alla, även anställda (anställda, chefer, IT-proffs, temps, entreprenörer, konsulter, revisorer ...), studerande, pensionärer och andra vanliga medlemmar av allmänheten. Och ja, även CISSPs. En gång om året utbildning faller sätt än vad någon rationell professionella skulle kalla Kontinuerlig yrkesutbildning.

2. Vad är "utbildning" egentligen? Enligt min erfarenhet, det är förvaltning tvetydigheter för en föreläsning vid trupper - en sändning, en predikan kanske, men nästan undantagslöst långtråkig, trist och värre än så, irriterande för alla inblandade. Management lära pip av på arbetskraft om vad de bör och inte bör göra. De fastställa bolagsrätt, oftast med underförstådda eller uttryckliga hot mot thrash budskapet hem. Sådana möten tar tid av upptaget worklives och deltog under NÅDER (inte för att publiken verkligen vill åka tillsammans och lära sig nya saker, men eftersom de säger utan omsvep att de "bara måste gå"). egenkär eller naiv chefer kryss i överensstämmelse rutan där det står "säkerhetsmedvetenheten - gjort" och gå på "viktigare saker". I verkligheten , vad jag talar om är varken kunskapen eller utbildning. Det är en amatör försök till hjärntvätt. Det visar en häpnadsväckande brist på kreativitet och förståelse av människans psykologi. Det enda motiv som uppnås är att uppmuntra personalen (och jag bet vissa chefer ) för att hitta sätt att undgå framtida sessioner.

3. IT verkligen närvarande ständigt föränderliga utmaningar, men så också gör organisationen, dess verksamhet, kommersiella & lagstiftningsmiljö, människorna, är uppfyllda, konsekvenserna av ett misslyckande, om hackers, det malware, brottslingar, konkurrenterna Den jämnåriga, partner ... Och, förresten, det är inte bara en fråga om IT-säkerhet. Informationssäkerhet tar i uppenbara saker såsom indiskret konversationer och lämnar känsliga dokument om kollektivtrafiken, men mer subtilt det gäller att skydda information tillgångar, vilket innebär att informationen skall mening, kunskap, expertis och erfarenhet - som går långt utöver de data eller IT.

Nog nu vi alla veta årliga medvetenhet sammanträdesperioder helt enkelt inte fungerar. Det är verkligen inte svårt att säcken jätte hål i begreppet, men varför detta löjliga "årliga medvetenhet" sak vägrar att lägga ner och dö? Jag tvivlar på något CISSP skulle på allvar hävda att utsätta anställda för en " medvetenhet utbildning "(vad det nu kan vara) kommer att uppnå något fördelaktigt förbi första veckorna, dagar, timmar eller minuter, och ännu mindre kvar tills nästa års möte. Skulle du tillåta någon att köra bil på grund av en "kör medvetenhet utbildning" en gång om året? Skulle du vara glad att inte den ansiktsmask och placera dina mest värdefulla personliga tillgångar i händerna på en kirurg som gjorde en "operation medvetenhet träningsrundan" nästan ett år sedan? Det är helt nötter, men det håller kommer upp som en fruktad zombie tillbaka från graven för att hemsöka oss.

Det som oroar mig mest är att bara upprepa frasen (som jag uppskattar, ironiskt nog, är precis vad jag nu gör) årliga säkerhetsmedvetenheten utbildningstillfällen "främjar myten att det är vad som menas med säkerhetsmedvetenheten och / eller sjöfartsskyddsutbildningen som i själva verket är ganska tydliga idéer. värre ändå, eftersom vi alla veta att dessa årliga möten är en värdelös och olidlig slöseri med tid, det innebär att både medvetenheten och säkerhetsutbildning är också värdelöst och olidlig. DOH! Det är ett klassiskt exempel på att kasta ut barnet med badvattnet.

Fundera för ett andra moderna flygplan och dess pilot. Cockpit är fyllda full av de mest häpnadsväckande tekniska wizzardry syftar till att göra flygande som en säker, kostnadseffektiv och allmänt trevlig som möjligt för alla inblandade, en stor del av dem för att göra pilotens arbete enklare och enklare än någonsin ... men vi gör inte låta bara någon sitta i heta stolen och föra oss till Barbados. Piloter genomföra intensiva kurser på marken innan ens ta till himlen, och då måste klockan så många timmar erfarenhet innan det beviljas förmånen att bli en kvalificerad pilot - och ja det är ett privilegium som bär ett tungt ansvar. De har ytterligare på arbetsplatsen utbildning och flygsimulator övningar att komplettera, och regelbundna utvärderingar för att hålla dem uppdaterade med den senaste tekniken, flygregler och så vidare, hela karriären. De träffas och samtala med andra piloter, med ett intresse för nya risker och möjligheter i att flyga. De utvecklar en mycket personlig passion och kärlek för vad de gör. De få det.

OK, nu slår scener med genomsnittet företagsstyrning "slutanvändare" (säkert en nedsättande term, men ganska apt i detta sammanhang) - till stor del outbildad, nästan alltid helhjärtat och ändå satt där i varm plats att leka med företags-och personlig information tillgångar med knappt en tanke om deras skydd eller säkerhet. Datorn är bara ett verktyg för honom, en som tillhör onda företag som gör honom arbeta för sitt levebröd. Är vi förvånade över att de inte få det på alla, även direkt efter en av dessa fruktansvärda "årliga medvetenhet utbildning"?

Eller hur, byta scener igen till det klassiska geek hacker, alla tatueringar och piercingar och svart hoody - själv utbildade, kunniga, engagerade och ja intensivt brinnande intresse för vad han gör, med en djup fascination och respekt för tekniken. Hans dator är en konstform En sak av glädje, ett altare ännu. Han lever i ett parallellt universum till slutanvändaren. När slutanvändaren-man knackar från arbetet vid 5pm och traipses dystert hem, det sista han vill göra är att "sitta framför den blodiga dator hela natten ", medan det är precis vad geek-hacker har mest. När bytes börja flyga, endorfinerna frigörs och innan han vet det, det är gryning och tid att göra sig i ordning för arbetet.

I datasäkerhetsegenskaper termer, det är ett allvarligt orättvis kamp. I det blå hörnet slutanvändaren man bara vill göra sitt jobb och har ett enkelt liv. I det röda hörnet, geek hacker vill eget hans b0x, och har de verktyg, kompetens och motivation för att få det (och i dessa dagar, någon vill betala honom stora pengar för att göra det åt honom). Samtidigt har de fattiga gamla Security Manager gör sitt bästa för att HOPPLA slutanvändaren-man från åskådarplats men vet att det inte kommer att bli en ganska slut.

Tja kanske jag allvarligt över-sträckta att analogt och tagit parodi för långt, men vad jag verkligen få till är att slutanvändaren-man desperat behov av effektiv information säkerhetsmedvetenheten och utbildning till:

• Underrätta honom om den information som säkerhetsrisker runt honom, när det gäller att han kan relatera till;
• Visa honom att känna igen och hantera dessa risker, pragmatiska termer han faktiskt kan användas;
• Ge honom de kunskaper och verktyg för att göra saker ordentligt, och känslan att rapportera saker som uppenbarligen inte rätt;
• Motivera honom att ta ett intresse av att skydda både företagets information tillgångar och eget;
• Påminn honom om hans skyldigheter, vilket innebär ansvar och ansvar gentemot beter säkert;
• Lätt att gnistbildning av passion, att intresse och känsla av kontroll över sitt eget öde, som gör det möjligt för honom att ta kampen till andra hörnet. Förrän vi kommer till detta stadium, constently och upprepade, "utbildning" är dömd. Vi kommer aldrig att skapa en säkerhetskultur som ropade ner anställdas earholes en gång om året.

That's it, relax, GORMA över. Nu är det din tur. Vad gör du tror?




Mer ...