各公司陆续制定安全意识培训计划

来源:TT安全

加速这种趋势的原因是,许多企业都要求雇佣的软件公司能够遵守更严格的安全标准。此外,越来越多的企业意识到,雇员的错误可能导致高额的罚款,甚至导致数据安全漏洞。

波士顿一家卫生保健公司发现自身有多处违反HIPAA标准的地方。几天后,公司的高管决定投资为雇员进行加强安全意识的培训。与此同时,一家明尼苏达州销售生产率软件(productivity software)的公司为其众多的软件开发人员进行了安全培训。这两家公司都是受外部因素的影响开始进行培训项目:审计失败,且用户的需求在增长。

据专家和分析师分析,安全意识培训将会越来越普遍。Safelight安全顾问公司的创始人兼CEO Rob Cheyne说,失败的审计、数据漏洞以及其他对知识产权和敏感数据产生危险的因素令企业不得不加强员工的安全意识。

“你不可能依靠技术解决所有的安全问题,”Cheyne说,“主动进行安全教育,可以使员工意识到他们在保护公司安全的过程中扮演着极其重要的角色。”

Safelight公司在上月举行的2011 RSA会议上推出了他们的安全教育蓝图(Security Education Blueprint),帮助企业在内部评估不同小组的风险状况,满足对雇员进行必要的安全教育的需要,Cheyne解释道。

尽管Cheyne提供的培训计划能服务于最终用户和IT企业,但他说他最大的乐趣还是在于教授软件开发者安全编程的基本知识。“你将会有多次恍然大悟的感觉——‘啊,原来是这样’,”Cheyne说。他表示,很多时候,一个公司的最大弱点不是最终用户,而是经理和业务主管,他们是最需要接受安全培训的人。

“企业需要的安全培训方式是,培训(方式)能令员工和业务过程与其他员工或业务产生互动,”Cheyne说道,“企业里面的每一个人都有相应的职责。”

Michael Kaiser是非营利性组织国家网络安全联盟(National Cyber Security Alliance)的执行主席,该组织每年都会举办网络安全意识宣传月活动。他说,人们的安全意识在不断提高;技术在保护珍贵资产方面的作用是有限的。该组织发起了主题为“停下,思考,连接”的活动,主要面向消费者,但是国土安全部也利用这一活动宣传联邦级别的安全。

“我们确实正在合作,以期我们的主题思想能够被广泛接受,”Kaiser表示,“这需要时间,但有希望的是,随着时间的推移,企业、非盈利组织、政府机构及其他组织都会使用这个思想。它将成为公众意识的一部分。”

安全软件发展的进步为安全业带来了希望,Gary McGraw这样说道。他是来自华盛顿特区的软件安全咨询公司Cigital的首席技术官。McGraw说,大型企业更愿意公开分享他们的安全软件开发进展,这样小型公司能够利用这些资源。他负责了Building Security In Maturity Model(建立安全成熟度模型)项目的研究工作,该研究由进40家大型企业倡议进行。

McGrwa和Sammy Migues,是Cigital培训和教育部门的主管,Brian Chess则来自加利福尼亚州圣马特奥市的软件安全保险供应商Fortify软件公司。他们进行了大量的采访,找出了长期有效的安全工作流程。

“我们访谈的所有公司都在软件安全过程的客观测量方面进步明显,”McGraw说,“你可能会乐于见到企业行动起来并承担责任。我认为以后我们会看到更多(进步)。”


||编者按

关于技术与管理在企业信息化中各自所占的比重的问题,目前仍然有很多争论,但几乎所有人都一致同意,企业信息化中技术要与管理相结合。毕竟计算机和信息系统从本质上说是工具,要让其发挥作用,必然需要人的配合。安全管理也是一样,如果用户不配合,或者安全意识不足,那么企业的很多安全措施或策略就将流于形式;另外一方面,安全与效率向来是信息安全中的一对矛盾体,培训不足,则安全策略不能发挥出全部能力不说,更会降低原有的运行效率。在信息安全建设中,只顾硬件不顾培训等软件是完全不可取的。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注