网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
如何在你的企业内部实施安全意识(security awareness)计划?
一个企业安全意识计划的目标不仅仅是让所有的员工理解并看重公司信息资产的价值,还要让他们明白如果这些资产的安全受到威胁,将会带来什么样的后果。从理论上说,这个过程是直截了当的,没有什么痛苦。但是就象每一个IT/安全经理都知道的那样,在真实的情况下,安全意识计划可能是一个巨大的梦魇--尤其是在大型的企业中。
你怎样才能正确地开始执行一个安全意识计划呢?你怎样才能确定什么工具会在你的企业内部有效?最大的问题是:你怎么样才能让每个人都有意识?我们的安全专家提出了一些简单,却经常被忽略的策略:
做好准备
xynoMedia Technology的CEO Lena L.West认为,在你设计安全草案之前,你应该对环境做尽可能多的了解。你必须注意的两个主要方面是:
人们实际上是如何使用这个系统的,他们为了达到什么样的目的--“这是在设计安全草案的时候最经常被忽略的一个问题,” West表示。“如果IT经理不了解公司是如何使用这个系统的,以及使用的目的,那么就很难确定安全级别。”
谁能够访问到什么信息,为什么,以及谁需要访问这些信息,为什么--“对于这两个问题的答案可以互相引证,并帮助你了解是否是合适的人得到了合适的访问授权,” West补充道。
West进一步强调,“对于IT经理来说,了解公司是如何使用信息的这一点是非常重要的,而且他/她还应该了解他/她所处的特定行业的动态……因为安全方法在特定的财务环境中和在特定公司结构中应该是不一样的。”
“最近的HIPAA和FIPAA立法都对安全方法提出了更高的要求。IT经理应该明确哪些是法律要求的,如何实现。医疗保健机构可能会需要对
网络资源进行审查跟踪。如果一个文件丢失了,或者被复制了,被
删除了,对于这样的行业来说,非常重要的就是要搞清楚是谁、在什么时候做的。但是这些对于其他行业的公司来说可能就不那么重要,比如说面包店。”
Security & Business Continuity的IT战略副总裁Monique Shivanandan建议,安全经理必须对企业目标、行动和政策有深刻的理解。“安全经理还必须了解员工的世界--规模、人员组成、管理风格和企业文化等。”
从高层获得支持
Neohapsis, Inc.(一家安全咨询及企业产品测试公司)的CEO E. Kelly Hansen强调,高级管理层的支持是非常重要的。“没有企业领导对于项目的大力支持,人们不会愿意参与其中。培训占用了人们日常工作的时间。在目前这样一个大部分公司都人员不足的情况下,培训看起来并不是一个好的主意。先做紧急的事情成为了大部分企业的规则。没有高级管理人员的明确支持,信息安全意识计划注定要失败。”
同样,West也表示,“IT经理需要理解,技术仍然是不得不被使用的东西。如果没有高级管理层的支持--级别越高越好--那么这样的计划从高级管理层到基层员工那里都得不到支持。”
联合你的盟友
Hansen还强调了和盟友配合的重要性。“我见过几家名列财富1000的企业让IT经理同企业沟通或市场经理协同工作。IT安全小组负责提供内容,市场方面的同事负责打包。”
另一个类似的方法是内部联合小组,Hansen建议。“如果你的资料能够先让几个部门领导(比如HR、法律、财务、管理等)进行阅读,就容易收到比较好的效果。他们的反馈会很有见地。”
Shivanandan也同意这一观点。“IT经理必须组织企业内部多个部门的领导人,以使安全意识计划能够满足所有部门的需要,并能够提高员工的积极性。”
注意你的语言
“大部分IT经理都没有意识到他们在说外星语,”Hansen解释道。“IT语言对于企业内部大部分员工来说都过于专业。很多时候,人们觉得IT人员有意地说一些他们听不懂的话,这让他们觉得怨恨。”
“我们经常会发现有些安全讲师总是不能够把要传递的信息用一种听众能够感兴趣的语言描述出来,”Hansen补充道。他们所使用的类比也是同样的问题,她认为。
“我们经常见到安全意识计划的进行充满了专业术语和军事化的类比,实施人员似乎从来没有意识到语言的影响。比喻有非常强大的力量。使用不恰当的语言会让人们不想听,更糟糕的是,可能会让人们觉得安全是件讨厌的事情--这是无论如何都要注意避免发生的情况。”
Hansen补充道,最好的安全意识计划应该是根据企业具体情况来进行定制的,“让你传递信息的方式符合企业的文化。”她认为“用一种谁也听不懂的外星语言说话不能达到目的--人们很有可能会一个耳朵进,一个耳朵出。”
优化内部沟通流程
安全意识计划能否成功在很大程度上取决于你所处企业内部的沟通是否有效。“在BellSouth” Shivanandan解释说,“我们经常评估内部沟通流程,对其进行优化,并通过这样的流程让所有的员工知道我们为了避免灾难的发生,正在做怎样的努力。”
“对于每一个行动,我们都会有一个全面的内部沟通计划,这是由公司内的PR人员制定的。我们利用我们的在线能力来达到沟通的目的。”
“我们每周都会发一个电子邮件的newsletter,它叫NewsSource”,Shivanandan说。“这个工具随时可以被利用。我们还每两个月一次向所有员工发送一种newsletter,它有两种形式--电子邮件或者是纸制的杂志。而且,我们使用我们的BellSouth Television Network(BellSouth电视网)通过位于大部分BellSouth建筑内都有的电视机,向员工发送信息。”BellSouth还使用自己内部完善而复杂的语音邮件系统,通过电话向所有的员工发送紧急信息。而且根据不同情况,还会使用印刷海报,ID徽章,钥匙卡等方法。
“我们现在进行的安全意识计划就如同一场使用了多种员工沟通工具的战役,我们鼓励员工每个月都对计算机进行安全扫描,以保障在BellSouth内,所有的计算机都免遭来自于互联网的安全危险。”
增加趣味性
West认为另一个能够让安全意识计划得以成功实施的方法是让安全变成一个“有趣的”话题。“很多人总是觉得安全问题很可怕,而安全专家都是非常高深的人。把这些让人惊恐的感觉消除掉,让他们看到他们自己也可以是这件事的一份子,他们完全可以参与近来。”West建议设定特定的电子邮箱或热线电话,让员工能够报告任何可疑的情况。
“一个可行的方法是采用互动式的游戏,或者加入幽默的元素,”Hansen表示。“一匙糖能够帮助传递安全信息。”
要这样说
“而且,我认为说明为什么采用某种政策非常重要,”Hansen补充道。“很多人天性中有叛逆的成分。如果你说不要按那个红色按钮,我们中的很多人都会去按一按。如果你解释说那个红色按钮会关闭电源,会造成数百万美圆的间接损失,我们就不太会去按那个按钮了。”
用同样的文件来约束员工
“应该让员工对书面的安全政策进行签名,”West强调。“这能够使你免于陷入一些官司,还避免了出现有的员工说‘我不知道我们不能这样做’。”任何安全行动都应该让所有的人收到同样的文件。
West认为,IT经理不应该忘记把一切都记录下来,并拷贝给所有员工,让他们签字,并在
人力资源部保存这些签字的记录。
令行禁止
West的另一个重要的建议是:提高透明度,快速行动。“人们很难重视那些看不见行动的人,”她表示。“如果员工看见安全政策正在被贯彻,他们就会意识到企业对此非常重视,并强制性要求员工不能在这方面出错。如果你的政策书面规定任何员工都不能够下载不恰当的资料,那么你就应该做到令行禁止。”
总而言之
Shivanandan这样来总结一个有效的安全意识策略:“首先,为每一个行动做出全面的沟通计划。使用多种、合适的沟通工具以覆盖整个公司,并确保大部分员工:1)收到了信息;2)是通过一种他们会作出反应的沟通工具收到这些信息的。信息应该被传递到整个公司。信息应该简洁明了、含义清楚,对行动也应该有明确的要求。经理们应该帮助IT部门获得员工的注意和支持
(出处:viphot)
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。