لماذا هو مهم التدريب الأمني

أمن المعلومات

تدريبمن سان جون هاريسون (التحالف من أجل الأمن والإنترنت الجديدةالتكنولوجيات) نظرة جديدة على بعض القضايا التدريب فيما يتعلقالأمن ويقدم المشورة بشأن ونظرة ثاقبة على ما يمكن للمنظمة لا من أجل التصدي بفعالية أمنهم الاحتياجات التدريبية.

لماذا هو مهم التدريب الأمني؟هذا قد يبدو هذا السؤال واضحة ، ولكن من المهم أن ننظر إلى ما المشاكل الأمنية التدريب ومن المرجح أن تعالج على نحو فعال. التدريب هو 'الناس' القضية -- مرة أخرى ، إلى بيان واضح ، ولكن كثيرا ما نغفل عن واضحة. بلا حدود والمعهد استطلاعا في عام 1999 بين خبراء 1،850 أمن الكمبيوتر والمديرين لتحديد سبعة أخطاء الإدارة العليا التي تؤدي إلى الكمبيوتر الثغرات الأمنية . على رأس هذه القائمة وجدوا أن إدارة 'تعيين اشخاص غير مدربين للحفاظ على الامن وتوفير التدريب ، ولا أيا من الوقت لتجعل من الممكن للقيام بهذه المهمة'. الامور قد انتقلت منذ عام 1999 ، ولذا فإننا يجب أن نفعل أفضل من ذلك -- أو من نحن؟ ليسمح لك القاضي ، بلا حدود زيارة موقع المعهد على www.sans.org / newlook / الموارد ، حيث أن جميع الأخطاء السبعة المذكورة ، وتسأل نفسك : هل أي من هذه تنطبق على منظمتي؟ والرسالة الرئيسية الأولى ، التي هي على النحو صحيحا اليوم كما كان في عام 1999 ، هو أن المعلومات والتدريب الأمني وينبغي أن تشمل الجميع ، وتتجاوز بكثير احتياجات قسم تقنية المعلومات. نقترب من الوطن ، ومؤخرا ، برعاية وزارة التجارة والصناعة تجاوزات أمنية المسح2002 (www.security - survey.gov.uk) ، التي أشارت إلى أن المعلومات الأمنية لم تكن أبدا أولوية أعلى على مستوى المجلس (73 في المائة مقارنة ب 53 في المائة في 2000) ، ولكن عددا قليلا نسبيا من الشركات على ترجمة هذه الأولوية إلى فعالة العمل ، ولكن الدراسة ذهبت الى الكشف عن مستوى في الاستثمار في تكنولوجيا المعلومات الأمنية ، وفقط 27 في المائة من الشركات البريطانية التي تستثمر اكثر من واحد في المائة من ميزانية تكنولوجيا المعلومات في الاجراءات الامنية ، في حين أن المعيار العالمي ما بين ثلاثة إلى خمسة في المائة . ولعل النتيجة الأكثر دلالة هو أن 27 في المائة فقط من الشركات في المملكة المتحدة لديها سياسة الأمن ، والذي هو جانب أساسي من جوانب أمن المعلومات الجيدة. المسح يشمل تقديم المشورة بشأن الإجراءات العشرة الأولى للمجلس ، مع العنصر النقطي الأول يجري ل' تأكد من عملك يخلق ثقافة الأمن على علم من خلال تثقيف الموظفين حول المخاطر الأمنية ومسؤولياتهم '. هذا هو آخر تأييد للتدريب والتوعية الأمنية.

الأمن والتدريب والتوعية الأمنية -- ما هي الفرق؟

الذين ينبغي أن يكونوا مدربين ، وكيف ، وماذا ينبغي أن تكون تدرب في؟ الأجوبة على 'الذين' ، 'كيف' و 'ما' الأسئلة سوف يعتمد على الفرد وعلى احتياجات عملك ، ولكن النقاط التالية ذات الصلة.

الذي يحتاج الى تدريب؟ليس سطحي أن نقول إن الجميع في المنظمة في وقت ما أو آخر ينبغي أن يحصل نوع من التدريب على أمن المعلومات. في بعض المنظمات أنه ليس من غير المألوف لكل موظف لدينا البند الأمن ذات الصلة في وصف وظائفهم ، وعند الاقتضاء ، على أن يكون لها أهداف محددة ذات الصلة الشخصية. وأنا أعلم من منظمة واحدة حيث يعيش أكثر من 80،000 موظفا كان هدفا لتلقي التدريب في مجال الأمن ، والتي لأسباب لوجستية والتكاليف تم تسليمها من خلال مزيج من فيديو وجهاز كمبيوتر تفاعلي قائم على الدورة ، التي كانت المقررة والتي نوقشت في تقييمهم السنوي. والمشورة هو ، بالتالي ، أن تدرس بنفسك الهيكل التنظيمي وإعادة النظر في التدريب على الاحتياجات الأمنية لكل دور في الأعمال التجارية. لضمان ملاءمة من المهم أن نفهم 'ما' الجانب من التدريب ، والتي يتم مناقشتها في وقت لاحق.

كيف ينبغي أن يكون أجرى التدريب؟أحد الأمثلة على كيفية إجراء التدريب وقد تم بالفعل حيث تعطى التعلم عن بعد كانت تستخدم على نحو فعال. الدورات التدريبية هي أيضا فعالة جدا ، والخارجي على حد سواء في المنزل ، وعلى بعض لمزيد من التدريب التقني المهم لتوفير التدريب العملي على مرافق التدريب ، وهناك العديد من البائعين محددة الدورات التدريبية التقنية ، والشركات الاستشارية ويمكن استخدامها ل دورات تشغيل تقريبا على أي جانب من جوانب أمن المعلومات. في بعض الحالات ، والبائعين توفير يبين الطريق حيث أنها توفر التدريب المجاني في مواقع مختلفة في جميع أنحاء البلاد ، بهدف إزالة الغموض عن الجوانب الأمنية لمنتجاتها ، وبالتالي تساعد في بناء الثقة والطمأنينة في نفوسهم. العون الذاتي التدريب يتم عن طريق في العديد من المواقع التي تقدم المبادئ التوجيهية الأمنية ، وكثير منها موصوفة وربط الموقع في سان www.intellectuk.org / قديس.

ومن الأمثلة الجيدة على المبادئ التوجيهية للمساعدة الذاتية ، مكتوبة باللغة الانجليزية وسهل في المقام الأول لسوق الشركات الصغيرة والمتوسطة ، هي وكالة الفضاء البرازيلية المبادئ التوجيهية الأمنية على شبكة الإنترنت ، والتي يمكن العثور عليها في www.intellectuk.org/ المنشورات / business_guidance_papers / web_sec_guidelines.pdf. هذه المبادئ التوجيهية مكملة للآيزو / 17799 اللجنة الانتخابية المستقلة ، وتوفر إطارا لوضع وتنفيذ تدابير أمنية فعالة لإدارة المخاطر الأمنية التي يمكن أن تؤثر على موقع على شبكة الانترنت ، والعمليات التجارية الإلكترونية. مثال جيد آخر هو دليل من الأمن القومي الأميركي سايبر التحالف ، والتي يمكن العثور عليها في www.staysafeonline.info ، مرة أخرى توفير التوجيه بلغة سهلة واضحة للمواطن في عالم الحاسوب والأعمال التجارية الصغيرة. كيف استطاع هذا التدريب هو اعتبار آخر مهم ، وسيلة جيدة لهذا سيكون من ضمن المستثمرين عامة الناس في المعيار الذى يتم تبنيه من قبل العديد من المنظمات. ويمكن للمزيد من المعلومات حول هذا معيار الجودة ويمكن الاطلاع على www.iipuk.co.uk.

تدريب ما هو المطلوب؟

ما التدريب هيكل يمكن أن يكون أكثر فعالية في

على المدى الطويل؟يقترح هذا القسم أن هيكل فعال للتدريب الأمني يجب أن يكون واحد هو أن يستند إلى المبادئ التسعة المذكورة في المبادئ التوجيهية للمنظمة. الدولة هذه المبادئ التوجيهية على ما يلي : 'جميع المشاركين سيكون بمساعدة من الوعي ، والتعليم ، وتبادل المعلومات والتدريب الذي يمكن أن يؤدي إلى اعتماد أفضل الممارسات الأمنية والتفاهم.' والمبادئ التوجيهية منظمة التعاون والتنمية ليست مفصلة ضمن هذه المادة ، لذلك فإنه يوصى بما يلي القسم يقرأ بالاقتران مع المبادئ التوجيهية (المبادئ التسعة هي واضحة وموجزة ، ويجري وصفها في ثلاث صفحات).

المبدأ 1 -- التوعيةالحاجة إلى الوعي الأمني قد تم وصفها في بعض التفاصيل ضمن الأبواب افتتاح هذه الوثيقة. توسيع نطاق المبادئ التوجيهية على أهمية إدراك المخاطر باعتبارها خط الدفاع الأول والناس تفهم العواقب الناجمة عن إساءة استخدام نظم وشبكات المعلومات. تمطر ولذلك ينبغي التأكد من أن الناس في جميع الأدوار بوضوح فهم هذه المخاطر ، وما يحتاجون إلى لا للتخفيف منها.

المبدأ 2 -- المسؤوليةهذا وقد تم التطرق في وقت سابق من حيث أهميتها بما في ذلك أمن المعلومات داخل الفرد لأهداف شخصية والتوصيف الوظيفي. المبادئ التوجيهية لتعزيز ممارسات الإدارة الجيدة من حيث التأكد من أن الأفراد هم واعية لمسؤوليتها وتخضع للمساءلة. التدريب ولذلك ينبغي أن توفر للمساعدة على ضمان الناس لديهم المهارات والمعارف اللازمة لهم لأداء هذه المسؤولية.

المبدأ 3 -- الاستجابةيعترف بأن هذه الحوادث الامنية التي سوف تحدث ، وأنه من المهم أن يستجيب لها في المشاركة في الوقت المناسب وبطريقة المنطوق. هذا يثير نقطة مهمة في مجال التعاون ، وذلك لأن مثالي للتدريب من شأنه أن الحاجة إلى إعلام الناس الآخرين على المصائب -- وهذا هو ، والتعلم من أخطاء الآخرين. ومع ذلك ، وتقاسم المعلومات هو الاعتراف بأنها صعبة نظرا الى احتمال فقدان سمعة الناشئة من خطر وسائل الإعلام غير متعاطف الإبلاغ. تدريب ولذلك ينبغي محاولة لإدراج المحتوى من تقاسم المعلومات بشأن قضايا حساسة مثل الحوادث. إدخال تبادل المعلومات ومراكز التحليل (ISACs) في الولايات المتحدة هو محاولة واحدة للقيام بذلك (انظر https : / / www.it - isac.org) كمثال داخل قطاع تكنولوجيا المعلومات.

المبدأ 4 -- الأخلاقهذا أمر أساسي لتغيير الثقافة السائدة من حيث جعل الناس يدركون ان تحركهم من عدمه قد يضر بالآخرين. في الولايات المتحدة ، وأمن المعلومات يجري الآن تدريس على مستوى المدرسة من أجل تغيير النظرة إلى 'القرصنة هو بارد'. المنظمات هي أيضا تعزيز قواعد السلوك الأخلاقية ومعهد المديرين المدراء () ، على وجه الخصوص ، قد نشرت مدونة لقواعد السلوك المتعلقة بأمن المعلومات. التدريب ولذلك ينبغي أن تقدم على مثل هذه الرموز وتسليمها الى جميع الناس في هذه المنظمة. وهناك مكان جيد للبدء هو التدريب التعريفي.

المبدأ 5 -- الديمقراطيةوهذا في كثير من الأحيان يمكن أن يكون أمرا مفروغا منه في المملكة المتحدة ، ولكنه يتعامل مع الحاجة لأمن المعلومات لتكون متوافقة مع القيم الأساسية للمجتمع ديمقراطي. أحد جوانب هذا الموضوع يتصل الخصوصية والحق في اقامة دولة للوصول إلى المعلومات على أساس فردي. قطعتين من المملكة المتحدة التشريعات التي تتعلق بهذا الجانب هي قانون حماية البيانات لعام 1998 وتنظيم سلطات التحقيق لسنة 2000. تدريب ولذلك ينبغي أن توفر لمساعدة الناس على فهم التشريعات ذات الصلة ، سواء من حيث حقوقها وما هو غير قانوني.

المبدأ 6 -- تقييم المخاطريتم تشجيع المشاركين على إجراء تقييمات للمخاطر في هذا الفرع من المبادئ التوجيهية. المخاطر هو مصطلح يستخدم من قبل العديد من ولكن ، يمكن القول ، فهم قلة. على سبيل المثال ، ما هو الفرق بين تقييم المخاطر وإدارة المخاطر ، وكيف يمكن الاضطلاع بها؟ ينبغي أن يكون التدريب على مخاطر معينة ، ومدى ارتباطه إلى دور الفرد داخل المنظمة. أنا أزعم أن هذا هو الموضوع الرئيسي ، وأنه يجب أن يدرس على جميع المستويات وعلى جميع الأدوار داخل منظمة ، كما أنها المحرك الرئيسي نحو ثقافة الأمن على علم بها.

المبدأ 7 -- تصميم وتنفيذ الأمنأنا أزعم أن هذا هو واحد من أهم المبادئ الأساسية والمبادئ التوجيهية للمنظمة حيث أنها تنص على أن النظم والشبكات والسياسات تحتاج إلى أن تكون مصممة على نحو سليم وتنفيذها وتنسيقها لتعظيم الأمن. واعتقد جازما أن هذا يوفر واحدة من أكبر الفرص لتحسين وهذا المبدأ هو غالبا ما تهمل -- يتضح من الدراسة الاستقصائية زارة التجارة والصناعة الأمن ، والذي جاء فيه 'ومع ذلك ، وفقط 14 في المائة من الشركات في المملكة المتحدة (32 في المائة من الشركات الكبيرة) وثيقة دائما كيف المتطلبات الأمنية ويجري تناولها فيتصميم وينبغي لمشاريع تكنولوجيا المعلومات و 25 في المائة (8 في المائة من الشركات الكبيرة) لم تفعل '. سيجري توفير التدريب على كيفية الأمن يمكن أن تصمم في أنظمة تكنولوجيا المعلومات والشبكات ، فضلا عن تنفيذ والحفاظ عليها بطريقة آمنة. الموردين والمستخدمين والموظفين يجب أن تعلم كيفية القيام بذلك ، وينبغي أن يعلم عملاء موظفيها كيفية شراء النظم والخدمات التي سوف تكون آمنة.

المبدأ 8 -- إدارة الأمنوتنص المبادئ التوجيهية التي يتعين على المشاركين في اعتماد نهج شامل لإدارة الأمن. مرشح واضح على هذا الذي لا يمكن أن يقوم هو بكالوريوس 7799 مدونة ممارسات لإدارة أمن المعلومات ، والتي يتم مناقشتها لفترة وجيزة في وقت سابق من هذه المادة وغيرها من الأماكن في هذه المقالة. ينبغي توفير التدريب على خلفية الهيكل والنهج للحصول على معلومات جيدة إدارة الأمن كما هو موضح في بكالوريوس 7799 الجزء 1 (الايزو / اللجنة الانتخابية المستقلة 17799:2000).

المبدأ 9 -- إعادة تقييميتصل هذا الانتقال من المرحلة 4 إلى 1 في دورة التعلم التي سبق وصفها ، والذي يذكرنا بأن التهديدات الجديدة والمتغيرة ، ونقاط الضعف بشكل مستمر يتم اكتشافها ، مما دفع باستمرار الحاجة إلى إعادة النظر في التدابير المضادة المناسبة. التدريب على الأمن ولذلك ينبغي أن لا تكون حدث واحد على أي فرد ، ولكن ينبغي أن تقدم بشكل مستمر لتلبية احتياجات البيئة المتغيرة. هذا ينطبق أيضا على الوعي الأمني ، كما أنه من المهم الاستمرار في إعادة فرض الحاجة إلى الممارسة الجيدة الأمن. وإلا فسيكون هناك خطر من الرضا عن النفس ، لا سيما إذا لم تحدث أي حوادث تذكر.

استنتاج

مقال مقدم من فرانك C.

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "لماذا هو مهم التدريب الأمني" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.