构建信息安全感知程序(二)(3)https://developer.aliyun.com/article/1507688
Harry Regan
Harry Regan 先生,CISSP、CISM,是一位拥有超过 30 年商业、联邦和国防经验的安全、信息技术和运营专业人士。他曾担任执行、高级技术人员和咨询任务,涉及企业和项目管理、计算机和网络运营以及高级咨询。Regan 先生在物理安全、信息安全和隐私计划开发、威胁和漏洞评估、技术对策、监控和数据采集(SCADA)系统、建筑和工业基础设施保护、NERC 重要基础设施保护(NERC CIP)以及监管合规方面拥有丰富经验。Regan 先生获得了天主教大学经济学学士学位和美国大学信息技术和运营研究硕士学位。
Q: 感谢您参与这次问答。请向我们介绍一下您自己。
A: 在 2002 年至 2008 年期间,我经营了一家专注于金融服务、医疗保健和高等教育安全问题的小型安全咨询公司。2004 年和 2005 年,我被委托合作开发一系列针对一个州立学院系统的安全意识培训模块。培训分为三个层次—学生、教职员工和管理层。
Q: 在您看来,信息安全意识计划包括什么?
A: 安全意识计划需要教育参与者为什么应该接受培训,提供危险活动和行为的指导,解释为什么这些活动是危险的,并举例说明不遵守的后果是什么—即个人或机构的伤害、惩罚和责任。
Q: 您自己建立计划的原因是什么?
A: 和许多学院系统一样,该州遭受了许多数据泄露事件,并面临着根据格拉姆-利奇-布莱利(GLBA)法案和其他隐私立法的处罚。缺乏足够的数据保护和最终用户教育已经引起了州检察长的关注,并发布了纠正所有州机构安全计划的命令。
Q: 如何获得管理层对您的计划的支持?
A: 在这种情况下,很容易——来自检察长办公室的机构失去自主权的威胁是最大的业务驱动力。
Q: 您在为您的组织建立信息安全意识计划时遇到的最大挑战是什么?
A: 我们最大的挑战是自由与开放之间的平衡。在学术环境中,强调自由表达思想、分享信息和讨论冲突思想的开放是重要的。但是,与许多利益相关者相比,普遍具有规则、限制和控制的安全计划的概念与之背道而驰。尽管 GLBA 明确要求建立一个正式的安全计划,但这个想法本身却成为了激烈辩论的焦点,而不是被接受为一种操作上的必要性。
Q: 预算是否是一个问题?
A: 是的。检察长办公室认为,学院系统应该已经有一个成熟的安全计划,包括一个安全意识计划,所以这是一个“无资金支持的命令”。
Q: 需要克服的政治障碍是什么?
A: 当我们开始建立这个计划时,我们不得不与法律团队辩论我们是否能够说某事是违反法规的。我们经常被指责帮助安全经理扩大权力。我们对此最好的武器是定期来自检察长办公室的信件,威胁要派出国家审计员监督系统的运作。
Q: 用于衡量信息安全意识计划成功的指标有哪些?
A:使用学习管理系统作为培训交付机制,并在材料中嵌入测验,这样我们可以跟踪完成度指标和嵌入式培训指标——因此,随着时间的推移,您不仅可以在培训期间看到理解的提高,还可以在培训结束时看到理解的提高。
Q:在构建信息安全意识计划时,您遇到了哪些失败和陷阱?
A:学生版本成功实施了。员工和管理人员的培训陷入了抵制和政治纷争之中,理由是以资源和优先级问题来表述:我们没有时间接受这种培训——而且我们是专业人士,不需要这种培训,所以对我来说优先级很低——持续的恶意软件爆发和网络入侵尽管如此。
Q:一个项目的最佳培训周期是什么?
A:在我看来,半年一次是最佳周期。我认为比这更频繁会使计划变成一种必须应付的琐事,而不是一种有益的复习。但我也相信,计划需要每半年进行修订和更新,这样人们不会一遍又一遍地看到完全相同的材料。在这样的计划中,人们最终会对此不感兴趣。
Q:您为自己的项目使用了什么学习和教学风格?
A:我们采用了情境方法:
■ 按角色分开培训——学生、教职员工和管理人员接受不同的培训。
■ 故事叙述——我们使用一系列小品,其中不同角色展示了良好和糟糕的安全行为,以突出培训中的重点。
■ 嵌入式测验——用于在培训过程中的某些时间点测试知识,并捕获测验结果以及最终结果。
Q:您对于其他人建立自己的项目有什么建议?
A:不要计划一次性的安全意识计划。随着技术和威胁的变化,它必须进行审查和更新。它还必须与受众相关——不是一刀切的方法。最后,也可能是最难实现的,它必须引起受众的兴趣——只是向用户传道授业解惑的一系列幻灯片是注定会失败的方法。
Q:相比从供应商购买预制的信息安全意识计划,自行构建您自己的计划有什么优势?
A:自行构建允许进行一定程度的定制,大多数预构建的程序都无法触及。此外,如果您使用学习管理平台(如 Moodle、DigitalChalk 等)构建您的程序,您还可以在其他培训和协作会议中使用同一平台。
Q:在建立信息安全意识计划过程中,您遇到的成功是什么?
A:我们在学生版本上取得了最大的成功,而在管理版本上遇到了最糟糕的情况。管理层似乎在说:“对我的团队来说,安全教育很重要,但我没时间……”
Q: 您对那些正在建立自己信息安全意识计划的人有什么建议?
A: 不要假设你的受众有任何技术背景。即使是像 Web、URL 和网络这样的术语对一些用户来说可能需要一些背景知识。在培训中要注意你的语气——不要说教——不要发号施令。相反,要通知并尝试让你的受众跟上你的步伐——这比做起来要容易得多。如果用户在学习的过程中感到愉快,那是完全可以的!
Q: 有什么我们没有涵盖到但您想补充的吗?
A: 记住,你正在构建的是一个“系统”,所以你应该经历需求、设计、开发和测试阶段。在正式发布之前让真实用户测试内容和流程总是一个好主意——并且愿意接受批评。
Tess Schrodinger
Tess Schrodinger 在执法、调查、法证学(子弹和血液,而不是 1 和 0)以及工业安全领域有 20 年的经验。她拥有乔治梅森大学社会学学士学位,安全管理硕士学位,以及网络安全技术研究生证书。
Q: 感谢您参与这次问答。请告诉我们关于您自己的情况。
A: 感谢你邀请我做出贡献!
当我还是个小女孩的时候,我读过一本关于一个女孩收集各种应对危险情况的方法的书,这与后来出版的流行的《最坏情况生存手册》类似。学习所有这些有趣的技巧、窍门和方法来应对威胁生命或安全的情况,多年后,我仍然喜欢学习新的威胁以及减轻或消除它们的方法。所以,对我来说,学习如何逃离流沙和保护我的笔记本电脑一样有趣。而且,我喜欢与他人分享我所学到的知识。
我在法证学和安全领域有大约 15 年的经验。如果我中了彩票,我可能会退休“去上学”(在长时间的休息中探索世界)。我热爱学习,也热爱教学和分享。我在我退休的父母的帮助下给我的女儿上家庭教育,几乎整个人生都是教育和安全意识的倡导者。
Q: 在您看来,信息安全意识计划包括什么?
A: 在我看来,一个信息安全意识计划如果是有计划的、连贯的,并且针对特定受众,那么它就是真正强大的。
“计划”意味着这不是偶然事件或事后想法。一个有计划的项目将有明确定义的目标,一个明确的焦点,以及一个特定的受众或一组受众。计划还意味着这不是对强制性合同要求的懒散半吊子回应,这种回应最多只能勉强达到期望,或者只是“敷衍了事”。
“持续性”意味着不是一次性事件,比如一个初次的安全简报,多年后被彻底遗忘了。材料会反复出现,并测试员工是否在保留或从项目中获得价值,并根据您对影响的评估调整方法。我参加过一个关于如何创建安全意识项目的课程,其中有一件事情被反复强调,那就是你必须告诉某人十次才能让他们可能记住一次。我一直把这个建议放在心上,所以我不只是一次涉及一个话题,我会多次涉及它,但通过重申相同的信息并改变演示方法来保持新鲜。
“特定受众”意味着材料和演示是针对受众量身定制的。在呈现材料时,要考虑到他们的教育水平、背景和当前的职责。虽然“一刀切”总比没有好,但并不是最佳方法。当我与由程序员和网络专家组成的团队坐在一起时,我不会使用与一群行政助理一样的演示。我可能传达的是相同的信息,但我需要用他们的语言、到达他们的水平,并将材料放在一个对他们有意义的背景中,这样他们就不会对我置之不理。
Q: 建立自己的项目的原因是什么?
A: 在我的领域,有一个合同要求提供最低水平的安全意识和教育。我本来也会这么做,但我得承认,我曾利用“强制性”这一点来“激励”一些不爱学习的人参加。
Q: 你如何说服管理层支持你的项目?
A: 我的管理层了解项目的合同要求,对项目相对支持,但在过去几年中确实出现了预算问题,这影响了项目。
多年来,我发现当你和领导或管理层交流时,你通常在与那些不太关注安全而更关注资金的人交流。我认为,能够将忽视对用户进行教育的风险转化为金钱金额并学会向他们说明投资回报率(ROI)是至关重要的。
我曾经与一家公司的总法律顾问密切合作。他是一个非常忙碌、非常聪明的人,但大部分时间,他并没有看到教育我们员工的价值。他不反对,但也没有意识到这是值得努力的。有一天,我和他坐下来,把一对手铐放在桌子上。他抬起眉毛看着它们,我解释说,如果我们按照我的建议去做,他很可能不会很快穿上它们出现在 CNN 上。突然间,他意识到了价值所在。对他来说,这并不是金钱起了作用,而是如果他疏忽大意可能会面临的法律指控或逮捕。
管理层来自不同的背景,有时受到不同的议程的激励,但我发现如果你能向他们传达员工教育的价值,他们会明白并且支持你。在那次手铐事件之后的几年里,我的总法律顾问经常把我介绍给人们:“是那个让我远离监狱的女人!”
了解商业思维方式。学会如何将员工教育的价值转化为他们能理解的语言,不仅在教育他们时,还要在争取领导支持和资助安全意识工作时。
问:为您的组织建立信息安全意识计划最大的挑战是什么?
答:我必须教育各种各样的员工。他们从清洁工到高度技术的工程师类型不等。我很早就意识到我必须调整我的方法。向一个几乎不会说英语的现场供应商传达基本信息,与向一个非常忙碌的工程师传达相同的信息会有所不同,他们已经觉得自己什么都知道,不愿浪费时间听我说什么。
我也发现,对于那些不生活在我们这个世界的人来说,安全可能特别枯燥乏味。用户经常无法意识到他们可能成为目标,他们通常对围绕着他们的威胁或他们自己行为可能带来的漏洞毫不知情。安全通常也会打破他们正常行为模式,所以他们被要求做出的改变对许多人来说可能在精神上或身体上都不舒服。再加上新威胁和攻击向量出现的惊人速度,这足以让一些人举起手来放弃。当涉及与技术相关的安全时,我听过很多人说他们根本无法跟上,甚至不知道如何开始或者跟进,所以他们决定什么也不做。
问:预算是一个问题吗?
A: 我很幸运有一个小预算,但它肯定已经被削减了,老实说,我经常用自己的钱来补充,因为我觉得这很重要,而且我已经看到了足够的投资回报,我对贡献感到不错。我经常会购买一些零食或者拿一些小奖品去送给那些参加我的简报的人。去年我拿到了一个星巴克的卡,或者去年我花了 8 美元买了那些带着间谍对间谍小人的迷你书,然后在我的每月简报中送出了一个。我曾经计算过,对我个人来说,花 8 美元值得,因为我不必为了清理他们的烂摊子而过夜或周末留下来,因为他们不知道如何做得更好。
Q: 需要克服哪些政治障碍?
A: 处理所有组织通信的小组是最令人沮丧的。我曾经遇到过这样的情况,我为我的团队准备了一整套一年内要使用的电子邮件消息,然后那个小组让我改变横幅中绿色的色调。虽然我理解一些需要从 508 合规性的角度进行的更改(这是我最近学到很多的东西),但是他们要求的许多更改没有任何道理,一次又一次地不断地不断地重新制作教育材料,对于许多小的更改感到非常沮丧。
许多年前,我提出了一份有关主动射击者简报的建议,但被禁止执行,因为“可能会让员工感到害怕”。我更觉得,如果被困在我们的设施里,面对一个主动射击者而不知所措会更可怕,但他们忽略了我。有时候很令人沮丧,当一群与安全毫不相干且对安全一无所知的人突然决定要去改变你的内容或彻底禁止它时。但是,我已经学会了灵活应对,也学会了以不需要一群红笔挥舞的人正式批准的方式传达我的信息。有时候我确实需要和他们打交道并获得正式的批准,所以我试图在我所了解到的他们的参数内工作,但如果可能的话,我会尽量避免。
Q: 用于衡量信息安全意识计划成功的指标有哪些?
A: 在我看来,员工报告是我用来衡量我的计划成功的最重要的指标之一。当我第一次接管我的站点时,基本上没有任何关于任何可疑行为或安全问题的报告。几年后,我可以拿出我的员工提交的可疑行为报告和个人报告的厚厚的文件夹,以及我转发给我的可疑电子邮件的几个文件夹。
我认为我意识到自己产生影响并且人们在倾听的时刻是当我们 IT 部门的负责人向整个组织发送了一封电子邮件要求做某事,几乎我的所有员工都拒绝做,直到我确认他的电子邮件是合法的,而不是“把戏”。就在那之前的一周,我告诉他们关于人们如何可能黑进高级领导人的电子邮件账户或发送看起来像来自重要内部部门的电子邮件。实际上,我有一个项目经理告诉他的整个团队等到他得到我的确认之前不要做任何事。虽然不得不在接下来的 24 小时内处理数百个焦急和担忧的电话和电子邮件非常令人恼火,但也很棒看到有多少人注意到并将他的电子邮件转发给我,并附上类似于“我记得你告诉我们的那些内容,我不会做这件事,除非你说可以!”的话。
另一次,我给我的一名员工发送了一封电子邮件,请求一些我需要的信息。我最近刚刚做了一次关于社会工程的简报,有一部分我想知道他们是否会质疑,但往往你会觉得没有人在听你说话,所以我没有多想。当他们回复说他们很乐意为我提供那些信息,但他们想确保我就是我所说的那个人,所以请问我儿子的名字。我没有儿子,我有一个女儿,所以我微笑着回复他们正确的信息,并且还纠正了他们关于我男朋友的另一条评论,当时他在海外,他们知道他在哪里,但故意问他在另一个完全不同的国家里享受他的逗留。他们为“质疑”我道歉,因为许多高级领导类型经常在受到挑战或质疑时感到愤怒,但我赞扬他们注意到并停下来质疑我的请求。我有很多类似的情况,我觉得报告指标才是真正显示我的计划效果的地方。
问:在建立信息安全意识计划过程中,您遇到了哪些失败和陷阱?
A: 在敲打我坐在的桌子的木头后,我可以自豪地说,我在建立我的项目时确实没有遇到过任何失败。有一年,几乎有一场飓风差点摧毁了我的一个活动,但我们设法避开了。再次,陷阱在于处理那些认为他们应该在批准我的材料中扮演一定角色的人,但他们并不理解,似乎决心通过坚持一系列编辑或更改来证明他们自己的工作,并且认为这些材料太可怕或潜在冒犯性,不适合向员工展示。说到潜在的冒犯性,我指的是他们不断需要消除每个项目的各个方面。我曾经,我没有开玩笑,重新格式化了一整个系列的电子邮件通讯,以满足他们的要求,要求所有电子邮件都使用 Arial 字体而不是 Times New Roman。我做出了所有的改变(由于格式的原因,这不是一个快速的高亮显示和更改),我以为我完成了。他们花了两个半星期的时间才回来坚持要求我将 Arial 字体从 11 号改为 10 号。那时我不得不进行我的“停工”之一,并去星巴克,以免在工作环境中发表不适当的评论。
Q: 什么样的培训周期对一个项目最好?
A: 我的个人培训周期包括以下内容:
- 员工开始工作前的初始安全简报。这通常是在第一周完成的,但有时我会灵活安排,并与他们协调,以适应他们所在的特殊项目。我已经在酒店大堂、汽车、酒吧和其他地方向员工进行了简报。我在我的 iPad 上保留了我的初始简报的副本(不包含任何敏感或专有数据),并确保我与我的项目经理密切合作,确保每个人都及时接受简报,并且他们的第一次简报是深入和彻底的。
- 每月选择一个主题,并制作一个简短的演示文稿。我的大多数员工都非常忙碌,没有太多的空闲时间来阅读或审查大量的材料。我会使用定制的图形作为电子邮件签名,链接到我的内部网络站点,他们可以在那里查看当前和过去的材料。对于那些不在现场或在偏远地区工作的人员,我会通过电子邮件发送演示文稿。每年,我都会为所有员工举办一次安全复习简报,提醒他们他们的责任,更新任何新的威胁或关注的方向,并教育他们任何新的法规或要求,他们需要注意或即将出现的。
- 每年选择一个主题,通常我会围绕这个主题进行一系列月度午餐讨论。如果你每年只提供一次关于某个主题的简报,那么只有能参加那次简报的人才能参与。相反,我会每月选择一个星期五,在午餐时间提供一个简短的讲解,让人们可以参加。这样,他们不再只有一年一次的机会来参加简报,而是有了十二次的机会。
- 每年一次的大型安全意识日活动。我通常会邀请几位演讲者并安排提供午餐。我会尽量确保演讲者有趣并且讲的内容有趣。有很多资源愿意来和你的员工交流;你只需要提出请求。
- 针对特定的当前关注点或已经出现的威胁的一次性特别简报。
Q: 你的计划使用了哪些学习和教学方法?
A: 我尽量让我的安全教育有趣和有趣。我办公室里挂着各种与安全有关的电影海报。装饰?当然。但他们也引发了对话。如果你让某人谈论他们感兴趣的事情,你通常可以以相关的方式将安全引入讨论中,这样讨论就会有意义,而且他们真的在倾听,因为他们在谈论他们喜欢的事情,而不是在会议室前你在讲话时挣扎着保持清醒。我可以在任何话题上插入安全话题,从《星际迷航》到《詹姆斯·邦德》到《神秘博士》。
我还在办公室里放了书和不同的漫画,试图与人们建立联系。当他们进来时,他们不禁会扫视我的书架,通常会有一本书引起他们的注意,并引发问题或建议。我负责教育超过 400 人,我知道谁喜欢运动,谁是吃货,我知道谁是“迷航”迷,谁更喜欢《星球大战》。我知道谁是前军官,谁是执法人员。随着我了解员工或他们的喜好,我会尝试根据他们来定制我的培训。一个例子就是最近的三月疯狂。不冒犯,但我对篮球一点也不感兴趣。但是,我的办公室里的人对此非常兴奋。我想到了三月安全疯狂的主意,并围绕这个主题做了一个完整的篮球主题,包括一个可疑行为举报的比赛表,供他们挂在他们的隔间里。
海报是一个很好的工具,我在我的不同设施周围使用它们,定期更换它们,以免变得无聊。有很多免费的海报资源在线,你也可以浏览谷歌图像搜索“安全教育海报”,并根据那里找到的想法制作自己的海报。我经常看到一个海报的想法,然后根据我的现场或主题对其进行定制。
我的很多同事都很忙,所以我尽量让我的教育简短而甜蜜,除了最初的简要介绍,当我有他们一个小时的时间或者在我的年度宣传活动期间,我可以安排一些更长的简报或演讲。
我试图保持事情“性感”。幽默感很重要,但要保持得体,这样你就不会因为冒犯人们而与人力资源部门产生问题。我发现一些押韵和相对适合小学年龄水平的东西通常对工作场所来说是相当安全的。
在宗教节假日期间,我会尊重一下,选择一个季节性主题,比如“冬天”或“春天”,并避免使用“圣诞节”或“复活节”。大亮眼的吸引人的颜色可以走得很远,而卡通和视觉效果通常可以以更有趣的方式传达一整页的要点。想想与那个季节相关的事物。例如,我曾经在圣诞节假期周围做了一个关于 TRASHINT 的作品,并指出了人们在礼物打开后扔掉的盒子中能了解到什么。我实际上是在前一年为此做准备的,当时我在我的社区拍了一些人们把垃圾放在路边的照片,然后张贴了照片并询问:“你会抢哪个房子?”或者“谁有哪台笔记本电脑、路由器或游戏系统?”
在每个设施里,我都放置了一个专门用于安全意识教育的大布告板。每到新年,我都会坐下来挑选我想在当年讲解的十二个主题,并想出一个与每个主题相关联的主题。我会创建一个与该主题相关联的电子邮件签名,然后在布告板上张贴我创建的一个小短牌组的打印品。通常,这些都是漂亮的幻灯片,因为那是我可以放在布告板上的东西,每行三张,每列三张。有时,我会去派对商店买卷装包装纸或那些便宜的纸板剪影来装饰一下布告板或者吸引所有人的注意力。如果你自言自语地认为这听起来可疑地像是小学教室里的那些布告板,那么你是对的!这个想法只是针对更成年的观众!
一旦我张贴了这些布告板,我就会把 PowerPoint 演示文稿上传到我们公司内部安全网站的公司内部安全网站上,并将电子邮件中的签名图片链接到它。这样,我远程工作或在遥远的州内上班的人员也能接触到这些材料。
每年一次,我会举办一次安全意识日,邀请演讲者和内部供应商与我的员工交流。在这样的自愿活动中吸引听众可能有些困难,但我发现提供食物,无论是爆米花、杯子蛋糕,或者偶尔获得预算批准提供午餐都会有帮助。我尽量邀请那些我之前听过演讲并有有趣信息的人。甚至不一定要与安全有关,但如果我知道我的员工对某个主题非常感兴趣,我会尽力邀请相关人士。有一年,我设法邀请了一位来自当地机构的测谎仪检测员,他花了将近两个小时详细解释了过程和设备,然后给各种人接上测谎仪,并教会整个听众如何与他一起解读结果。当时场面绝对是人满为患,但许多人在之前的简报或之后的简报中都来了,所以这不一定是我需要提供教育的主题,但我知道他们会感兴趣。
我还努力邀请其他安全专业人士参加我的大型活动。我会走遍整栋大楼,与每个企业的安全人员或部门交谈,然后邀请他们前来。当他们在场时,我会确保将他们介绍给我认识的人,并帮助他们建立新关系,以加强他们的安全计划。
许多联邦和地方机构有公共或商业联络员,他们会免费演讲,因为这是他们工作的一部分。我是一级和二级认证的反恐官员,可以就这个主题进行简报,但对于我的所有员工来说,我只是“特丝”,并不是很令人兴奋。但是,如果我带来一个持枪和徽章的陌生人,突然间,就好像我带来了一个摇滚明星,用令人兴奋的信息和故事来吸引他们!我们可以呈现完全相同的材料,但当我带来一个陌生人来做时,情况就不同了。我利用这一点,利用它来激发员工参加讲座的热情。
Q: 对于其他正在建立自己计划的人,你有什么建议?
A: 市场营销。你必须向你要教育的员工以及你要获得支持和资金的领导展示自己和你的计划。花些时间了解市场营销人员如何使用颜色、主题或想法来吸引注意力和传达信息。不要指望你的员工只是因为你告诉他们而去阅读。让他们想要阅读。
要有创意和趣味。想想你喜欢如何学习。你是更愿意听我唠叨个没完没了为什么我们要佩戴工牌和报告无人陪同的陌生人,还是更愿意我张贴几张海报,然后奖励那些“捕捉”我们空间内无工牌的陌生人并将他们交出的人,用星巴克礼品卡或巨大的糖果棒?(是的,我两种方法都尝试过。)
要易于接近。多年来,我发现安全领域的许多人对用户的态度就像对待白痴一样,他们可能会有意识地或下意识地感受到这种氛围。成为他们可以交谈的人意味着他们也更有可能听你的话。记住,这不是他们的工作,他们也没有像你一样受过教育。对你来说,当你离开座位去洗手间时锁上电脑似乎是一件非常简单的事情,但是请想象一下一个年长的行政助理的处境,他们对 Facebook 仍然感到有些不知所措(就像我的妈妈一样),甚至连这么简单的事情都没有意识到。许多人心地善良,并不像对手或坏人那样思考,所以对他们来说,认为有人会偷他们的东西或使用他们的系统做坏事是很陌生的。没有必要恐吓他们,让他们屈服,但这是你在教育他们如何保护自己和企业安全时必须牢记的事情。不要只告诉他们该做什么,告诉他们为什么要这么做,以及如果他们不这么做会发生什么。然后,用故事和案例研究来强化这一点,让他们真实感受到,而不只是“那些詹姆斯·邦德电影中发生的事情”。
奖励他们!是的。奖励他们。当他们表现良好时,给他们一个鼓励。必要时要支持他们。最近,我有一个年轻女性,她对我的组织非常新,有一天,一个老练的老人在她忘记携带工作证的时候试图和她一起进入设施。他对她提出质疑,对她大发雷霆。她的老板让我说点什么,我也说了。我确保向整个现场发出了一封电子邮件,称赞她对试图进入我们网站的陌生人提出质疑,并且她做了正确的事情。然后我和那个对她大喊大叫的人谈了谈,最后他向她道歉了。
另外一次,一个前台接待员来找我,关于有人试图进入我的服务器房间的问题。一开始,我很惊讶她甚至注意到这很奇怪,但把它与服务器房间联系起来真的让我感到惊讶。我检查了一下,确实……有值得关注的地方。我为她感到骄傲,所以我向整个团队和她的老板发送了一封电子邮件,表扬她发现的问题。我请一些高级领导亲自过来她的办公桌感谢她,并对她表示赞赏,我还提名她获得一个小型内部奖项。后来她告诉我,我让她感觉像一个超级明星,但这也强化了她想要做好工作,为团队做好事情的愿望。成年人,就像孩子一样,通常对积极的强化作出更好的反应,而不是消极的惩罚,所以我鼓励你们要认可你们的员工,无论是向团队发电子邮件,正式写信给他们的老板,提名他们获得奖项,还是简简单单地到他们的办公室说:“谢谢你。”
Q: 自己构建程序相比从供应商购买预先构建的信息安全意识程序有什么优势?
A: 这对我来说是一个难以回答的问题,因为我从未从供应商那里购买过预先构建的安全意识计划,所以我真的无法做出这种比较。相反,我会说我不从供应商那里购买安全意识计划的原因如下:
- 成本。我不介意购买一张$20 的星巴克卡片送给那些参加我的简报的幸运用户,但我没有预算购买正式的预先构建教育产品,也不会自掏腰包支付。
- 这是一个一刀切的解决方案,我无论如何都必须进行定制,或者额外付费进行定制。
- 你只能接受他们给你的东西,如果你不喜欢,那就只能这样了。
- 我有技能和资源可以几乎零成本地创建自己的产品。
如果选择是购买预先构建的产品和根本没有任何安全教育之间,毫不犹豫,购买吧!但如果您具备技能和一些创造力,并且喜欢教导他人,我认为自己动手并没有明显的劣势。
Q: 在构建信息安全意识计划中您遇到的成功是什么?
A: 我最大的成功之一是看到越来越多的人向我提出关注、问题或寻求指导。
Q: 您对那些正在构建自己的信息安全意识计划的人有什么建议?
A: 尊重您的受众。了解他们知道和不知道的事情,并征求他们的反馈意见。不要对他们说教或傲慢。尽量保持简短以尊重他们的时间,但又足够全面以传达信息。请记住,虽然您的工作是教育他们,但他们可能不认识到学习也是他们的工作。我发现,如果您让事情变得有趣或有趣,会更吸引他们,让他们愿意倾听并建立联系。不要让安全成为另一项琐事,让它成为他们想要做的事情,或者至少不要“讨厌”做的事情。显然,总会有那么一个人对一切都感到厌恶,但我发现这在一般情况下效果很好。
Q: 有什么我们没有涵盖但您想要补充的内容吗?
A: 在我的世界中,分享是一个非常重要的事情。我们中的一些人擅长想出想法或材料,而其他人确实很难做到。我注意到的一件事情是,这个社区中有那么多的人都乐意与你分享他们的材料。如果你是其中之一,那我鼓励你在有能力的情况下进行分享。虽然我尊重那些试图靠出售安全意识材料谋生的人,但并不是每个安全计划都有这种成本的奢侈。而且有些计划根本没有预算。与安全社区联系,你会发现他们通常很乐意与你分享资源和材料。
一家网络安全公司的安全分析师
这位受访者因为在国防工业中的工作而选择保持匿名。
Q: 在你看来,什么构成了信息安全意识计划?
A: 信息安全意识计划涵盖了组织信息的全部内容。它涵盖的远不止计算机安全。它涵盖了雇员如何处理他们对组织的大脑中的信息,以及他们在日常工作中提供的或被提供给他们的关于组织的信息。这不仅包括从计算机到电话的任何东西,还包括在餐厅等公共场所讨论组织信息这样平凡的事情。
Q: 为什么要建立自己的计划?
A: 在我在不同的美国国防部(DOD)组织中工作期间,如美国国防部依赖学校(DoDDS)、国防后勤局(DLA)或美国陆军,信息安全意识一直是一项持续的工作。虽然 DOD 有一个总体的意识计划,但最好是定制和针对不同类型人员的不同意识水平进行定制。系统管理员、将军助理、学校校长或 K–12 教师需要具有的意识大相径庭。
在美国国防部(DOD)内部,也存在着操作安全(OPSEC)和反情报(CI)意识计划。在许多方面,这些计划存在重叠,因为获取雇员知道或可以访问的信息正是对手试图获取的内容。
Q: 你是如何获得管理层的支持的?
A: 由于这是美国国防部的一项强制性培训,因此无需获得管理层的认可。最困难的部分是跟踪完成年度培训要求的员工的百分比。即使有一个自动跟踪这些数字的系统,百分比也会随着员工的入职、退休或离开组织到其他地方而波动。让管理层接受这些数字会波动,并且在一个总是在变化中的大型组织上在某个特定日期实现 100%的完成率是不可能的,这是很困难的。
Q: 在为您的组织建立信息安全意识计划时,您遇到的最大挑战是什么?
A: 为了向员工传达这种培训的必要性,并跟踪已接受培训的员工百分比以供管理报告。人们花了很长时间才理解这种培训的必要性,但一旦展示了现实世界的例子,人们就明白了培训的必要性。
Q: 预算是一个问题吗?
A: 不,预算并不是问题,因为培训适用于所有国防部门的人员。
Q: 需要克服的政治障碍是什么?
A: 最大的政治障碍是员工和管理层都表达的“又一个年度培训要求”综合症。
Q: 用于衡量信息安全意识计划成功的哪些指标是有用的?
A: 已完成培训要求的员工人数。组织进行持续的随机测试也非常有用,让一个团队执行钓鱼、电话社会工程或尝试物理访问测试,以确定员工是否吸收并实际应用了培训中传达的信息。成功的关键是在几年内跟踪这些指标,并展示改善的趋势。就像交通事故一样,它们会发生,目标是持续向下的趋势。
Q: 在建立信息安全意识计划时,你遇到了哪些失败和陷阱?
A: 尽管员工接受了有关钓鱼的意识培训,但仍然有许多人成为受害者,并放弃了登录凭据。我认为意识培训是必须进行的,没有安全意识计划会使情况变得更糟,因为这等于承认失败。从另一个角度看,如果该计划阻止了针对人员的几次可能导致信息大规模或灾难性泄露的尝试,你可能永远不会知道这种成功,因为该计划在那种情况下是有效的。
Q: 一个项目的最佳培训周期是什么?
A: 这种培训每年都是必须的。由于国防部员工还必须接受与类似主题和内容重叠的培训,因此培训必须在 1 年内完成。这在在线学习管理系统中自动安排。员工在培训到期时会收到电子邮件通知。一些员工在被告知培训已添加到他们的学习计划后立即接受培训;其他人则等到收到 30 天通知。员工完成培训后,培训会自动再次安排,并设置一个距上次完成日期 1 年的到期日期。
Q: 你的项目使用了哪些学习和教学风格?
A: 由于员工数量众多,培训是通过基于计算机的培训提供的。培训材料每年都会更改,并且在整个国防部都是统一的。安全意识计划的其他部分总是通过面对面的由讲师主持的会议进行,比如 CI 意识培训。
Q: 对于其他正在建立自己计划的人,你有什么建议?
A: 要有创意!这个计划需要超越仅仅是又一个年度培训要求。这包括从悬挂在公共区域的意识海报到在由讲师主持的培训会议中回答问题赢得咖啡店 5 美元礼品卡。你基本上是在向目标受众推销这些信息;如果你不能吸引他们的注意,你就无法取得多少成就。
Q: 与从供应商购买预先构建的信息安全意识计划相比,自己建立计划的优势是什么?
A: 定制!虽然你可以用额外的材料补充预先构建的程序,但如果使用预先构建的程序,信息可能不完全符合你的组织需求。最好是从预先构建的程序开始,让你的意识计划起步,然后通过未来制作自己的有机材料来专门定制给你的组织。
Q: 在建立信息安全意识计划中你遇到的成功是什么?
A: 当人们发现意识培训既适用于他们的个人信息,也适用于组织的信息时,他们会看到参加培训的积极方面。一名员工对我说,有个陌生人在等公交车时走近他借他的黑莓手机打电话。员工拒绝了,因为感觉不对劲,当陌生人几分钟后拿出自己的手机打电话时,这种感觉得到了确认。
我经历的最大成功是制作了一个关于 802.11 无线网络对组织构成威胁的视频。当时我是德国曼海姆地区计算机应急响应团队(RCERT)的一员。我们使用停在沃尔玛停车场的一辆面向军事基地围栏内一栋办公楼数百英尺远的大天线的货车制作了这段视频。视频首先展示了我们进行无线网络漫游,检测接入点,然后停车利用无线网络攻击服务器的过程。
视频很值得记忆,因为除了人类之外,我们还在视频中放置了高达 4 英尺的充气外星人。其中一个坐在货车的副驾驶座上,一个站在停车场的天线旁边,另一个则目睹了服务器被攻击。尽管这个视频是为了欧洲的美国陆军人员制作的,但在全球范围内的所有陆军驻地都传播开来。它甚至被戈登堡的陆军信号学校采用。尽管这个视频完全是假的,军队网络从未受到任何威胁,但人们把外星人与无线危险联系起来的印象深深地印在了人们的脑海中。这个视频是在 2002 年制作的,多年后,人们一旦知道我在 RCERT–Europe 工作,仍然会问起这个视频。而且,现在它也出现在这项调查中!
Q: 对于正在建立自己信息安全意识计划的人有什么建议?
A: 要有创意!该计划需要超越仅仅是另一个年度培训要求。你实质上正在将这个计划推销给目标受众;如果你不能吸引他们的注意,你就不会取得太多成就。如果你的组织有一个销售部门,利用该部门内的人才制定营销策略。如果你有公共关系人员,向他们征求如何最好地触达你的受众的建议。记住,许多人每年只会记住超级碗比赛的几个亮点和那些 30 秒的广告片段,你的计划需要有一些信息安全的关键要点,人们会记住的!
Q: 还有什么是我们没有涵盖到但你想要补充的吗?
A: 不。
Ernie Hayden
Ernie 是一位经验丰富的技术顾问、作家、演讲者、战略家和思想领袖,在电力公用事业行业、关键基础设施保护/信息安全领域、工业控制系统、网络犯罪和网络战争领域拥有丰富的经验。他主要关注涉及工业控制、智能电网、能源供应以及石油/天然气/电力系统和设施的项目和业务发展,特别擅长工业控制和 NERC 关键基础设施保护(NERC CIP)标准。Hayden 曾担任 Verizon 全球关键基础设施/工业控制安全总经理,在西雅图港口、Group Health Cooperative(西雅图)、ALSTOM ESCA 和西雅图市电力公司担任信息安全主管/经理。2012 年,Ernie 被 SmartGridToday 评为“智能电网先锋”,并在 Jesse Berst 的 SmartGridNews 上发表了一篇关于微电网安全的文章。Ernie 经常撰写博客、观点文章和白皮书。他曾被《金融时报》、《波士顿环球报》、《EnergyBiz Magazine》和《普吉特湾商业杂志》引用。他的许多文章已发布在 Energy Central、Public Utilities Fortnightly 的“SPARK”以及他自己关于基础设施安全的博客等论坛上。他是www.searchsecurity.com“专家问答”讨论的受邀专栏作家,并在 Public Utilities Fortnightly 杂志上发表了一篇关于电网安全与合规性的文章。其他思想领导力文章包括牛津大学出版社《网络犯罪和安全法律系列》中关于“网络犯罪对信息安全的影响”的一章,以及《信息安全杂志》中的几篇文章,包括他在数据生命周期安全方面的原创研究和该杂志中关于数据泄露的一篇文章。Ernie 在全球安全论坛中是非常活跃的贡献者。他曾是云安全联盟的成员,在云安全指南文档第 2 版中担任信息生命周期领域的领导者。他还曾是华盛顿大学西雅图信息系统安全证书项目的讲师、课程开发者和顾问。
Q: 在您看来,信息安全意识计划包括哪些内容?
A: 信息安全意识计划的关键点在于让普通员工成为信息安全计划的第一道防线。换句话说,他们需要意识到他们的行为(或不作为)可能导致数据泄露和公司安全问题。因此,他们需要明白自己的角色是公司安全的日常眼睛和耳朵。
Q: 建立您自己的计划的原因是什么?
A: 我曾担任过四个 CISO 职位的相当于职位——每个职位都是每个公司的第一个真正的信息安全经理。因此,我需要为每个公司实施的安全计划真正是一个创业公司。我在每家公司都包括了某种形式的安全意识计划。
我之所以这样做是因为,如上所述——我认为每个员工都是公司信息安全防御的第一道防线。因此,他们需要理解自己的角色,需要知道如果他们看到可能表明正在进行信息安全问题的问题时该怎么做。
Q: 你是如何让管理层支持你的计划的?
A: 管理层的支持相对容易,因为管理层本来就想要一个安全意识计划。但是,当管理层担心信息安全成为“警察职能”时,管理层造成了一些挑战,然后在一个公司,管理层非常强硬地阻止了该计划,直到它被修改为止(例如,如果一个未被监视的桌面被解锁,则在椅子上放置便条被视为过于“警察职能”,需要停止)。
Q: 你在为组织建立信息安全意识计划时遇到的最大挑战是什么?
A: 最大的挑战是时间:开发计划所需的时间,开发演示所需的时间等等。这是最大的问题,因为所有四个安全意识计划都是按照“游击营销”的概念建立的——基本上是快速、廉价和有效。这让我无法完成其他工作。
Q: 预算是一个问题吗?
A: 预算是一个问题——没有资金支持“正式”的安全意识计划。但我可以拿到一些资金来做一些小事情,比如我设计和制作的简单传单和海报。但是,由于资金不足,不能购买任何外部的安全意识产品。
Q: 需要克服哪些政治障碍?
A: 其中一个公司的第一个问题是管理层认为信息安全是一项“警察职能”,他们非常担心安全意识可能在这个方向上走得太远。
否则,没有太多政治障碍——特别是因为我让安全意识计划变得有趣、有启发性和有趣味。
Q: 哪些指标对衡量信息安全意识计划的成功有用?
A: 没有——我没有时间搞得那么复杂。但是,我追踪了有多少人参加了我的午餐和学习演示会。
Q: 在构建信息安全意识计划时,你遇到了哪些失败和陷阱?
A: 没有明显的失败……尤其是因为任何事情都比以前做得更多。
Q: 一个计划的最佳培训周期是什么?
A: 我试图为所有新员工每月做一次演示。
Q: 你的计划使用了哪些学习和教学风格?
A: 我尝试过的一个方面是帮助员工最好地理解他们如何保护自己的数据。
例如,我会在 11 月/12 月初举办午餐学习班,教员工有关在线/互联网诈骗、盗窃等方面的知识。我会帮助他们更好地了解保护自己密码、信用卡号等的良好实践,希望他们能把这些良好的安全实践带回办公室。
Q: 对于其他人正在构建自己程序的人有什么建议?
A: 从小处着手,从简单开始,每一点努力都“算数”。你不需要购买外部海报、传单、小玩意等,就能取得成功。
利用公司通讯。我通常在每期通讯中都会有一篇关于信息安全的文章,提醒大家要注意的事项等。
利用公司会议、新员工入职培训等,进行安全意识演示。
Q: 与从供应商购买预先构建的信息安全意识计划相比,自建程序的优势是什么?
A: 我从未使用过预先构建的程序,但我认为自己的程序可以更好地融入企业文化、企业故事、组织问题等。
Q: 在构建信息安全意识计划方面,你遇到的成功是什么?
A: 偶尔会有人感谢我,要么是因为我教会了他们如何更安全地保护自己,要么是听到了他人分享了一个新的教训,或者是一个安全事故被防范的故事。
Q: 对于正在构建自己信息安全意识计划的人有什么建议?
A: 从小处着手,从简单开始,每一点努力都“算数”。你不需要购买外部海报、传单、小玩意等,就能取得成功。
利用公司通讯。我通常在每期通讯中都会有一篇关于信息安全的文章,提醒大家要注意的事项等。
利用公司会议、新员工入职培训等,进行安全意识演示。
Q: 还有什么我们没有涵盖到你想要补充的吗?
A: 没有了…谢谢!
