Warum ist Sicherheit wichtig, AusbildungInformation Security
TrainingJohn Harrison von SAINT (Security Alliance für die Internet-und NewTechnologies) bietet einen neuen Blick auf einige der Fragen der Ausbildung in Bezug aufSicherheit und bietet Beratung und einen Einblick in das, was eine Organisation kann tun, um effektiv ihre Sicherheit von Vorschriften befassen. Warum ist Sicherheit Ausbildung wichtig?Dies mag wie eine naheliegende Frage klingen, aber es ist wichtig, auf welche Probleme der Ausbildung zur Gefahrenabwehr kann wirksam Adresse zu suchen. Training ist ein "Volk" Problem - wieder eine deutliche Aussage, aber so oft übersehen wir die Hand. Das SANS-Institut eine Umfrage im Jahr 1999 Computer-Sicherheit unter 1850 Fach-und Führungskräfte zu den sieben Top-Management-Fehler zu identifizieren, die dazu führen, dass Computer-Sicherheitslücken . An der Spitze dieser Liste fanden sie, dass das Management "ungeübte Menschen Sicherheit aufrecht zu erhalten und stellen weder die Ausbildung noch die Zeit, um es möglich, den Arbeitsplatz". Urlaub zuweisen haben sich weiterentwickelt seit 1999, so müssen wir es besser als diese - oder sind wir? Damit Sie beurteilen, besuchen Sie die Website unter SANS Institute www.sans.org / newlook / Ressourcen, wobei alle sieben Fehler aufgelistet sind, und fragt sich, diese Verstöße gegen die für meine Organisation? Die erste wichtige Botschaft, die als auch heute, wie es war im Jahr 1999, ist, dass alle Informationen der Ausbildung zur Gefahrenabwehr einzubeziehen und weit über die Bedürfnisse der IT-Abteilung. Näher an zu Hause und in jüngster Zeit, unter der Schirmherrschaft des DTI die Sicherheitsverletzungen Survey2002 (www.security-survey.gov.uk), die Sicherheit, dass die Informationen mitgeteilt hat, nie eine höhere Priorität auf Vorstandsebene (73 Prozent auf 53 Prozent im Jahr 2000), aber nur relativ wenige Unternehmen sind in der Übersetzung dieser Priorität wirksame Aktion. Die Umfrage ging an die Höhe der Investitionen in IT-Sicherheit, mit nur 27 Prozent der befragten britischen Unternehmen investieren mehr als ein Prozent ihres IT-Budgets in die Sicherheit zu, während der weltweite Maßstab zeigen, ist von drei bis fünf Prozent . Vielleicht das deutlichste Resultat ist, dass nur 27 Prozent der befragten britischen Unternehmen eine Sicherheitspolitik haben, die ein wesentlicher Aspekt der Sicherheit ist gute Information. Die Umfrage gehört die Beratung über die Top-Ten-Aktionen für den Vorstand, mit dem ersten Aufzählungselement wird zu " Vergewissern Sie sich, Ihr Unternehmen schafft eine Sicherheits-Kultur bekannt durch die Weiterbildung die Mitarbeiter über Sicherheitsrisiken und ihre Verantwortung ". Dies ist eine weitere Bestätigung für die Sicherheit Ausbildung und Aufklärung. Sicherheits-Training-und Sicherheitsbewusstsein - was ist das Unterschied? Wer sollte geschult werden, wie und was sollten sie in geschult? Die Antworten auf die "wer", "Wie" und "was" Fragen werden auf den Einzelnen und auf die Bedürfnisse Ihres Unternehmens ab, sondern folgende Punkte relevant sind. Wer muss trainiert werden?Es ist nicht glib zu sagen, dass jeder in einer Organisation zu einem bestimmten Zeitpunkt oder einem anderen eine Art von Information Security Ausbildung erhalten sollten. In einigen Organisationen ist es nicht ungewöhnlich für jeden Mitarbeiter eine sicherheitsrelevante Position in ihrem Job Beschreibung haben und gegebenenfalls auf bestimmte relevanten persönlichen Ziele haben. Ich weiß von einer Organisation, wo mehr als 80.000 Mitarbeitern ein Ziel der Ausbildung zur Gefahrenabwehr, die für die logistischen und wirtschaftlichen Gründen zu unterziehen hatte, war durch eine Kombination von Video-und ein interaktiver Computer-Kurses, die bewertet und in ihrem jährlichen Beurteilung diskutiert geliefert. Die Beratung ist daher auf, Ihre eigene betriebliche Struktur zu prüfen und die Ausbildung zur Gefahrenabwehr Rezension Bedürfnisse der einzelnen Rollen innerhalb des Unternehmens. Um die Relevanz ist es wichtig, das "Was" Aspekt der Ausbildung, die später diskutiert wird, zu verstehen. Wie sollte die Ausbildung durchgeführt werden?Ein Beispiel, wie die Ausbildung Verhalten wurde bereits gegeben, wo Fernunterricht tatsächlich verwendet wurde. Schulungen sind ebenfalls sehr wirksam, sowohl externe als auch in-house, und einige der technischen Ausbildung ist es wichtig, praktische Hilfestellung zu Bildungsträgern zur Verfügung. Es gibt viele Hersteller-spezifische technische Schulungen und Consulting-Unternehmen eingesetzt werden können, um Kurse laufen auf nahezu jedem Aspekt der Informationssicherheit. In einigen Fällen bieten die Hersteller Road-Shows, wo sie kostenlose Schulungen an verschiedenen Standorten im ganzen Land anbieten, mit Blick auf die Entmystifizierung die Sicherheitsaspekte ihrer Produkte und damit helfen, Vertrauen aufzubauen und das Vertrauen in sie. Self-help Ausbildung wird gefördert durch die zahlreichen Websites mit Sicherheits-Richtlinien, von denen viele werden beschrieben und die SAINT-Website unter www.intellectuk.org gelinkten / Heiliger. Ein gutes Beispiel für Selbsthilfe-Leitlinien, in einfachem Englisch geschrieben und vor allem für den KMU-Markt sind die AEB-Web-Sicherheits-Richtlinien, die auf gefunden werden können www.intellectuk.org/ Publikationen / business_guidance_papers / web_sec_guidelines.pdf. Diese Leitlinien ergänzen die ISO / IEC 17799 und bieten einen Rahmen für die Entwicklung und Umsetzung wirksamer Maßnahmen zur Gefahrenabwehr zu verwalten, um die Sicherheitsrisiken, die eine Website und E-Business-Prozesse beeinträchtigen könnten. Ein weiteres gutes Beispiel ist das Handbuch von der US National Cyber Security Alliance, die auf www.staysafeonline.info gefunden werden kann, wieder Anleitung für einfache Sprache für die Cyber-Bürger und kleine Unternehmen. Wie dieser Ausbildung ist gelungen ist ein weiterer wichtiger Aspekt, und ein gutes Instrument für die dies im Rahmen der allgemeinen Investors in People Standard sein wird von vielen Organisationen angenommen. Weitere Informationen zu diesem Qualitätsstandard kann auf www.iipuk.co.uk gefunden werden. Welche Ausbildung ist notwendig? Welche Ausbildung Struktur wäre die wirksamste in auf lange Sicht?Dieser Abschnitt schlägt vor, dass eine effektive Struktur für die Sicherheit, dass ein Training basiert auf den neun Prinzipien in die OECD-Leitlinien beschrieben werden sollte. Diese Regeln besagen, dass ': Alle Teilnehmer, die Sensibilisierung, Ausbildung, Informationsaustausch und Ausbildung, die zu einer Annahme von mehr Sicherheit und Verständnis Praktiken unterstützt werden. "Die OECD-Leitlinien sind nicht in diesem Artikel beschrieben, so empfiehlt es sich, dass die folgenden Abschnitt ist in Verbindung mit den Richtlinien zu lesen (die neun Prinzipien sind klar und prägnant, in drei Seiten beschrieben). Prinzip 1 - AwarenessDas Bedürfnis nach Sicherheit bewusst wurde bereits im Detail im Rahmen der Eröffnung Abschnitten dieses Dokuments beschrieben. Die Leitlinien zu erweitern über die Bedeutung der Risikobewusstsein als die erste Linie der Verteidigung und der Menschen Verständnis für die Folgen, die sich aus dem Missbrauch von Informationssystemen und Netzwerken. Regnen sollte daher sicherstellen, dass die Menschen in allen Rollen klar verstehen diese Risiken, und was sie brauchen, um tun, um sie zu mildern. Prinzip 2 - VerantwortungDies wurde früher auch in Bezug auf die Relevanz der Informationssicherheit innerhalb persönlichen Ziele des Einzelnen und die Aufgabenbeschreibung berührt. Die Leitlinien zur Förderung einer guten Management-Praktiken an, um sicherzustellen, dass Menschen sich ihrer Verantwortung bewusst sind und rechenschaftspflichtig sind. Die Ausbildung sollte daher vorgesehen werden, um sicherzustellen, haben die Menschen die notwendigen Fähigkeiten und Kenntnisse für diese Entlastung zu dieser Verantwortung. Prinzip 3 - ReaktionszeitDamit wird anerkannt, dass sicherheitsrelevante Ereignisse eintreten und dass es wichtig ist, darauf zu reagieren in einer kooperativen und fristgerecht umzusetzen. Dies wirft ein wichtiger Punkt in Bezug auf die Zusammenarbeit, weil idealerweise Ausbildung benötigen würde, um am Unglück anderer Leute zu informieren - das heißt, das Lernen aus den Fehlern anderer Menschen. Allerdings ist den Informationsaustausch als schwierig, da der mögliche Verlust des Ansehens, die sich aus der Gefahr der medialen Berichterstattung unsympathisch. Die Ausbildung sollte daher versuchen, Inhalte aus tauschten Informationen über sensible Themen wie Zwischenfällen zählen anerkannt. Die Einführung von Information Sharing and Analysis Center (ISACs) in den USA ist ein Versuch, dies zu tun (siehe https: / / www.it-isac.org) als ein Beispiel im IT-Bereich. Prinzip 4 - EthikDies ist die Grundvoraussetzung zur Veränderung der Kultur in Bezug auf die Menschen erkennen, dass ihr Handeln oder Nichthandeln anderen Schaden zufügen können. In den USA ist die Informationssicherheit heute in den Schulen gelehrt wird, um die Wahrnehmung, dass "Hacking ist cool" zu ändern. Die Organisationen sind auch die Förderung des ethischen Kodizes für das Verhalten und dem Institute of Directors (IoD), im Besonderen haben einen Ethik-Kodex in Bezug auf Informationssicherheit veröffentlicht. Training sollte sich daher auf Codes wie diese und für alle Menschen in einer Organisation geliefert Verfügung gestellt werden. Ein guter Ausgangspunkt ist die Induktion Ausbildung. Prinzip 5 - DemokratieDies kann oft getroffen werden, für die im Vereinigten Königreich gewährt, aber es geht auf die Notwendigkeit für Informationssicherheit, um die grundlegenden Werte einer demokratischen Gesellschaft vereinbar sein. Ein Aspekt bezieht sich dies auf Privatsphäre und das Recht eines Staates auf Zugang zu Informationen über ein Individuum. Zwei Stücke der britischen Rechtsvorschriften, die zu diesem Aspekt beziehen, sind dem Data Protection Act 1998 und die Verordnung des Untersuchungs-Powers Act 2000. Die Ausbildung sollte daher vorgesehen werden, damit die Menschen verstehen, die einschlägigen Rechtsvorschriften, sowohl in Bezug auf ihre Rechte und was illegal ist. Grundsatz 6 - RisikobewertungTeilnehmer werden ermutigt, Risikobewertungen in diesem Abschnitt der Leitlinien durch. Risk ist ein Begriff von vielen, aber wohl verwendet werden, nur von wenigen verstanden. Zum Beispiel, was ist der Unterschied zwischen Risikobewertung und Risikomanagement, und wie kann man sie verpflichten? Die Ausbildung sollte über das Risiko gegeben werden und wie sie sich auf die Rolle des Einzelnen innerhalb der Organisation. Ich würde behaupten, dass dies ein wichtiges Thema ist und dass sie muss auf allen Ebenen vermittelt werden und alle Funktionen innerhalb einer Organisation, da es eine treibende Kraft zu einer Sicherheits-aware Kultur. Prinzip 7 - Security Design und ImplementierungIch würde behaupten, dass dies eines der grundlegenden Prinzipien der OECD-Leitlinien in dem es heißt, dass Systeme, Netzwerke und Politik müssen richtig konzipiert, umgesetzt und koordiniert werden, um die Sicherheit zu optimieren ist. Ich glaube fest daran, dass dies eine der größten Chancen für die Verbesserung, da dieses Prinzip wird oft vernachlässigt - von der DTI Bestandsaufnahme zur Gefahrenabwehr vor, die "erklärt, aber nur 14 Prozent der britischen Unternehmen (32 Prozent der großen Unternehmen) gab es schon immer Dokument bietet, wie Sicherheits-Anforderungen werden in der angesprochenenDesign von IT-Projekten und 25 Prozent (8 Prozent der Großunternehmen) nie tun. "Die Ausbildung sollte, wie in IT-Sicherheit kann ausgelegt sein, Systeme und Netze bereitgestellt werden, sowie über die Umsetzung und Aufrechterhaltung sie auf eine sichere Weise. Anbieter und Nutzer sollten ihren Mitarbeitern beibringen, wie man es zu tun, und die Kunden sollten ihre Mitarbeiter, wie die Systeme und Dienste, die sicher zu beschaffen zu unterrichten. Prinzip 8 - Sicherheits-ManagementDie Leitlinien legen fest, dass die Teilnehmer sollte ein umfassendes Konzept für die Sicherheits-Management. Der Kandidat, auf denen diese basieren kann, ist die BS 7799 Code of Practice für Informationssicherheits-Managementsysteme, die kurz zuvor in diesem Artikel beschrieben wird und an anderer Stelle in diesem Artikel. Training ist vor dem Hintergrund der Struktur und den Ansatz für eine gute Informationen bereitgestellt werden, Security-Management wie in BS 7799 Teil 1 (ISO / IEC 17799:2000). Prinzip 9 - NeubeurteilungDies bezieht sich auf den Übergang von Stufe 4 auf 1 in den Lernzyklus zuvor beschrieben, die uns daran erinnert, dass neue und sich ändernde Bedrohungen und Schwachstellen werden ständig entdeckt zu werden, woraufhin die Notwendigkeit, kontinuierlich das entsprechende Gegenmaßnahmen. Security Ausbildung sollte daher nicht ein einmaliges Ereignis für jeden Einzelnen, sondern sollten kontinuierlich bereitgestellt, um die Bedürfnisse des sich wandelnden Umfelds. Dies gilt auch für Sicherheits-bewusstsein, da ist es wichtig, immer wieder neu zu erzwingen die Notwendigkeit einer guten Praxis der Sicherheit. Andernfalls besteht die Gefahr der Selbstzufriedenheit, vor allem, wenn keine nennenswerten Zwischenfälle auftreten. Fazit Ein Artikel eingereicht von Frank C. Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "Warum ist Sicherheit wichtig Ausbildung" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 410 users browsing the articles directory |
|
|