安全意识失败的七个原因
作者:星期三, 十一月 12, 20140

06

编者按

虽然大多数安全意识项目都存在着许多问题,但这并非必然。消除以下七个错误,可以令安全意识工作在你的组织机构中行之有效。

人 们对安全意识的认识有着巨大的分岐。几乎所有CSO都相信他们的首要任务之一,就是加强他们组织的安全文化——换句话说,用户的行为。同样,我们看到不断 有文章和研究在谈论人员是高级攻击的主要攻击载体。一些研究表明在多达90%的攻击中,利用人员是关键的推动因素。现在已经出现一些时髦词语,如保护和攻 击“第八层”。

然而,我们经常看到一些媒体抱有的观念在挑战安全意识的价值。当存在明显的安全意识缺陷时,意识像所有的安全工作一样,是一种降低风险而非完全预防风险的措施,而且需要正确的实施。

想要安全意识工作的成功,就要主动认识到什么可能导致规程失败。即使你希望实施最佳实践,你也必须在开始之前确保你不是在执行颠覆项目的实践。本文将介绍,那些应该在项目实施中需要主动关注的问题,以避免失败,并转化为的重大损失。

一、不了解安全意识到底是什么

这可能是大多数安全意识项目失败的最根本的原因。在各行业中普遍缺乏对安全意识实际内容的认识。安全意识工作和安全培训之间最大的区别在于,安全培训是提供一组知识并进行对短期理解的测试,观看标准的“意识”视频就是一个安全培训的例子。

安全意识的主要目的是改变行为,没有对短期理解的测试。唯一的“测试”是在现实环境中,人员持续变化的行为。

仅仅提供一组知识不会改变行为,提供信息的方式必须符合员工的思维和行为方式。而且知识影响员工的行为有一个过程,在引发改变方面以下两种方法也存在区别,是一次性的提供个别信息,还是不断的以不同形式传递信息。

简而言之,很少有组织能真正理解和实施一个以创建更好的安全文化为目的,使员工积极参与的安全意识工作。

二、依赖于测试

任何一个好的CSO都会告诉你,合规只是安全规程的基础。安全合规标准不能在任何方面保证安全,它们只是提供最低级别的安全对策。坦率的说,大多数合规标准并不提供合理的安全,对安全意识尤其如此。

意 识合规标准几乎都很模糊。它们通常描述尽可能广泛的内容,“组织必须建立一个安全意识的工作规程”,一般没有关于工作的内容或结构,而是由审计人员来确定 怎样是符合的。但审计人员往往对好的意识工作的组成知之甚少,他们总是倾向于认可每年一次、十分钟的意识视频,只要最后安排了一次测试,就可以验证所有员 工通过了。

这些工作最多是基于短期记忆,并不能提供有力或真实的证据,证明员工在观看视频后实践了适当的行为。我们得到的第一手信 息是,为了满足合规标准,一群员工派一个人去参加培训,写下测试答案然后提供给组织中的其他人,这样其他人“不会为了幻灯片浪费时间”。这种情况不是偶尔 的。简而言之,你的意识工作是做了,但并没有达到所期望的目的。

三、不承认意识是一项独特的学科

通常你会说,安全意识工作的成败与否取决于具体执行工作的人。但这不是个人的过错,作为CSO需要知道指派的这个人是否拥有合适的知识、技术和能力(简称KSAs)。意识涉及到改变行为,你需要的人应具备大多数技术专家认为的“软技能”,如沟通和营销能力。

CSO、CISO通常会指派一个人来负责意识工作,他们一般在技术人员中挑选人才。很少有人是因为他们具备合适的KSAs而被聘用或指派到这个职位。

由于安全意识涉及到软技能,大多数安全专家认为谁都可以胜任。一个好的安全意识专家应拥有良好的沟通能力,各种技术和意识工具的知识,熟悉学习理念,明白意识不仅仅是考试活动,了解持续强化所期望行为的需求,以及其他很多的KSAs。

就像你不想指派一个没有经验或良好技能的人去运维防火墙一样,你也不想聘用一个没有任何意识经验或沟通能力的人去完成组织的安全意识培训工作。

四、缺乏有吸引力且合适的宣贯手段

正如前面提到的,许多或者大多数意识规程依赖每年进行一次的计算机培训,但计算机培训的效果有很大差别。有时候组织采用海报和新闻通讯,当有选择时,最低成本通常会成为决定性因素。但低成本并不总是很好的选择,此外,宣传形式对组织而言可能不适合。

即使低成本不是决定性因素,你需要确保你的宣传方法是适合组织文化的。有时做决定的人对某种特定的展示风格有偏好,这只能吸引组织中的小部分员工。举例来说,对互联网公司合适的意识宣传方法就不能很好的被投资银行的人士接受。

更重要的是,由于要考虑年龄层次问题,多种形式版本的安全意识宣贯手段应被采用。研究表明,年轻员工喜欢博客和微信,而年长员工更喜欢传统的新闻通讯和海报。

五、没有收集度量数据

没有度量就没办法知道意识工作是否真正成功实现了目标。你不知道是否浪费了金钱还是证明了价值,也不知道是否减少了损失。

通过收集常规度量数据,你可以根据测量出的有效性调整意识工作。通过确定什么有效、什么无效,你可以基于经验教训定制未来的意识工作。没有这些数据,你就是在盲目的实施,潜在的增加失败。

适 当的度量也可以确定哪些意识工作内容实现了预期的影响。度量应该在具体规程内容实施之前、之后进行,实施期间也应至少进行一次。没有这样的度量,你会浪费 时间、精力和金钱。举个例子,如果没有人阅读你的新闻通讯,就不需要继续编写。通过收集度量数据,你可以证明工作的有效性,并确定工作中最重要的方面,判 断为组织节省的开支是否大于其成本。

六、不合理的期望

每次一出现安全意识缺陷,人们就抱怨安全意识整体的价值。如果安全意识能预防所有利用人员引发的事件,这将是美好的,但绝不现实。从来没有安全对策能完全成功的杜绝所有事件,总会有失败。

七、依赖单一的培训练习

同样依赖于每年一次的计算机培训,很多公司已经开始将社会工程或钓鱼模拟加入他们的意识工作。虽然将模拟作为的一种培训练习方式没什么错,但只能解决单一的意识关注点。

依赖于组织的行业,我们定义了17-24个与用户行为相关的独立的意识主题。聚焦于一个攻击因素就很容易使其他攻击因素乘虚而入。当然,模拟被特别的使用是因为它们创建了度量数据,这是非常有价值的。但是整个意识工作不应该只包含模拟。

结论

大多数安全意识项目从一开始就注定要失败,但这不是必然的。你可以实施我们之前描述的成功惯例,但你必须首先清除所有的障碍。通过建立合适的基础,你将能实现一个真正具备投入回报,并能减轻被高级攻击所利用的顶级漏洞。

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章