圖片來源: 

iThome

每當社會上發生重大資安事件,提升資安意識是許多人都會大力呼籲的工作,然而,這也是難以推動的部分。

而對於資安意識的促進上,在實務環境當中,又是如何?

以國際電腦稽核協會與RSA大會合作進行的2016網路安全調查結果來看,受訪的461位資安主管和從業人員,對於所屬單位如何支援網路安全風險降低的工作時,多數人是透過強制實施資安政策來達成;其次是投入適當的資金,以獲得安全性;而表示會從事資安意識教育訓練的比例,以及效法良好的安全實務,分別排名第三、第四。

雖然資安意識的培養與建立,吃力不討好,所要涵蓋的面向非常廣泛,必須勸導、說服,甚至要強迫使用者,改變他們原本操作電腦,以及存取應用系統與資料的種種不良習慣,因此,在推動的過程當中,會遇上許多阻礙,不過,這種作法對於提升資安的有效性,仍然受到肯定。

例如,在SANS的2016財務面向安全與風險調查報告中,也特別提到,金融服務業當中,絕大多數的公司,除了進階防火牆、網路入侵偵測與防禦系統、端點防護系統,作為減緩風險的主要控制手段,他們對於實施員工資安意識的教育訓練,所能帶來的防護效果,也給予極高程度的肯定。

持續建立與強化對於資訊安全的認知

想要讓一般人或公司員工,養成資安意識,首先,我們需要設法讓眾人了解資訊安全威脅對於生活與工作的衝擊與影響,因此,必須告訴他們哪些行為是可能造成危害,因此要有所改變,才能盡可能降低發生的可能性。

不過,該如何改變可能會是一個難題,因為推動這項工作的人員,不只是理解相關的技術、風險與行為,更需要應用一些軟技能來傳達這些知識和處理方法,才能真正有效地培養起大家的資安意識。

當我們推動資安意識的過程中,其實會經歷幾個階段,SANS特別提出了Security Awareness Maturity Model,來突顯不同時期的重點發展目標,有助於判斷目前組織的資安意識處於何種階段。(圖片來源/SANS)

在SANS的Security Awareness Blog當中,他們建議推動資安意識計畫的負責人員,可從下列三個層面加以著手:溝通、協同運作、文化。

溝通

資安意識的養成,終究都關乎能否彼此有效溝通,因此,在一開始的時候,推動資安意識的人員,要先鼓勵大家了解資訊安全這項議題,並且向他們解釋為何要關心資訊安全。

根據SANS的建議,我們可透過簡單的方式,描述應該要做的事情,並且設法讓大家能夠展現這些行為。

這就像是在行銷一個理念,不過,對於許多技術人員來說,困難的部份在於,如何協助一般使用者,使其能夠順利地跨過這些知識學習的曲線,但事實上,能否建立好的溝通,其實並不在於你對資安有多專精,而是在於你如何有效傳達,而且我們仍然可以設法把資訊安全理解成簡單的事物,使大家能夠知道該如何因應,而不是繼續認為它們很恐怖與困難。所以此時,重點應該放在改善溝通的技巧。

協同運作

資安意識的良窳,牽涉到使用單位裡面每個成員的認知,為了要讓這樣的觀念普及,推動者必須要與許多人一起合作,而這些人可能遍布不同國家地區或是其他部門。

為了能夠與這些人員共同推動資安意識,SANS建議,可透過一些方法來協同運作,例如,可以成立一個諮詢委員會(Advisory Board)的組織,成員是來自不同部門的代表。透過他們的參與,可以促使資安意識的計畫得以成形,並且能夠持續維護與追蹤相關的進展。

文化

要做好資訊安全,除了針對行為層面的落實,相關風氣與文化的培養更不可忽視,因為這牽涉到後續能否維繫。

而關於文化的建立,SANS認為,當中包含了觀念、態度、信念的形成與確立,有了這些,才能更有效地推動資訊安全。同時,文化也包含了情感的表達與交流,而對技術人員來說,這可能會有些困難,所以,若能基於使用單位既有的文化,來進行組織內部的溝通與協同運作,對於推動資安意識將有重大的突破。

而在文化的持續建立過程中,我們可以借鏡科技公司的作法--他們往往會設法生產出一些幽默的內容,讓內部人員可以根據自己的排程來觀看與使用。

若你身處在傳統文化氣氛較濃厚的環境,像是金融業或政府單位,大家可能會較傾向提供規訓、專業的內容或教材,讓從業人員們能夠在上班時間閱讀,或提供給講師,用於人員的帶領或交辦。

當然,在很多環境當中,同時存在多種文化,例如,每個單位裡面就可能有許多不同的世代,因而會有不同的文化。

總而言之,我們的目的是建立一個重視安全的文化,而且是關鍵在於相關人員能否充分理解這樣的文化,並且讓這樣的改變,可以在適應組織原本的文化下,發展起來。

從如何確保上網安全做起

資訊安全所涵蓋的主題眾多,範圍非常廣大,但彼此重疊的部分也不少,若要在組織內部推動資安意識,不妨先從上網安全這個主題開始進行。

關於維護上網安全,目前有許多網站都提供相關的內容,可供你在推動資安意識的計畫當中使用。例如,美國從發起的National Cyber Security Awareness Month(NCSAM)活動,會定期於每年10月舉行。

另外,一些大型IT廠商也極力呼籲上網安全,例如,Google成立了統合多種線上資訊、工具的安全中心入口網站(www.google.com/safetycenter),而微軟不只成立各種安全入口網站(https://www.microsoft.com/en-us/safety),涵蓋資訊安全、個人隱私等議題的資訊,同時,也提供了資安意識的教育訓練工具包。

搜尋引擎與雲端服務巨擘Google,也極力在推動使用者上網安全的議題,他們在2013年萬聖節發布了30種小祕訣貼圖,讓使用者可以在輕鬆、有趣的氣氛下,分享這些安全情報。(圖片來源/Google)


Advertisement

更多 iThome相關內容