Pourquoi la formation de sécurité importantes

Sécurité de l'information

formationJohn Harrison de SAINT (Security Alliance pour l'Internet et des nouvellesTechnologies) jette un regard neuf sur quelques-unes des questions de formation en matière dede sécurité et fournit des conseils et un aperçu de ce qu'une organisation peut faire pour répondre efficacement à leurs besoins de formation de sécurité.

Pourquoi la sécurité est important?Cette mai sembler une question évidente, mais il est important de regarder quels sont les problèmes de formation de sécurité est susceptible d'intervenir efficacement. La formation est une question «peuple» - là encore, une affirmation évidente, mais trop souvent nous oublions ce qui est évident. Le SANS Institute a mené une enquête en 1999 parmi les 1850 experts en sécurité informatique et aux responsables d'identifier les sept erreurs de la haute direction qui conduisent à des vulnérabilités de sécurité informatique . Au sommet de cette liste, ils ont constaté que la direction 'assigner des personnes sans formation pour maintenir la sécurité et ne fournissent ni la formation ni le temps de permettre de faire le travail ». Les choses ont évolué depuis 1999, nous devons donc faire mieux que ça - ou sommes-nous? Pour vous permettre de juger, visitez le site SANS Institute à www.sans.org / Newlook / ressources, où tous les sept erreurs sont répertoriés, et demandez-vous: effectuez l'une des celles-ci s'appliquent à mon entreprise? Le message clé d'abord, qui est aussi vraie aujourd'hui qu'elle l'était en 1999, est que la formation sécurité de l'information devrait impliquer tout le monde, et s'étendre bien au-delà des besoins du département IT. Plus près de nous et, plus récemment, le DTI a parrainé la Atteintes à la sécurité Enquête2002 (www.security-survey.gov.uk), qui a indiqué que la sécurité des informations n'a jamais été une priorité plus élevée au niveau du conseil (73 pour cent, comparativement à 53 pour cent en 2000), mais les entreprises sont relativement peu nombreux traduire cette priorité dans l'efficacité action. L'enquête a également révélé le niveau de sous-investissement dans la sécurité informatique, avec seulement 27 pour cent des entreprises du Royaume-Uni investit plus de un pour cent de leur budget informatique dans les mesures de sécurité, alors que la référence mondiale est de trois à cinq pour cent . Peut-être le résultat le plus révélateur est que seulement 27 pour cent des entreprises britanniques ont une politique de sécurité, qui est un aspect fondamental de la sécurité une bonne information. L'enquête comprend des conseils sur les dix actions pour le conseil, avec le premier élément étant de " Assurez-vous que votre entreprise crée une culture de sécurité au courant par l'éducation du personnel sur les risques de sécurité et leurs responsabilités ". C'est une autre approbation de leur formation à la sécurité et la sensibilisation.

Formation à la sécurité et la sensibilisation à la sécurité - quel est le différence?

Qui devrait être formé, comment, et que devraient-elles être formés? Les réponses au «qui», «comment» et «quoi» des questions dépendra de l'individu et sur les besoins de votre entreprise, mais les points suivants sont pertinents.

Qui a besoin d'être formé?Il n'est pas glib-à-dire que tout le monde dans une organisation à un moment ou un autre doit recevoir une sorte de formation à la sûreté de l'information. Dans certaines organisations, il n'est pas inhabituel pour chaque salarié d'avoir une question liée à la sécurité dans leur description de poste et, le cas échéant, d'avoir des objectifs spécifiques pertinentes à caractère personnel. Je connais une organisation où plus de 80.000 employés avaient un objectif à une formation de sécurité, qui, pour des raisons logistiques et des coûts a été généré par une combinaison de la vidéo et un ordinateur interactif fondées sur le cycle, qui a été évalué et discuté lors de leur évaluation annuelle. Le conseil est, par conséquent, d'examiner votre propre structure organisationnelle et de revoir la formation à la sécurité des besoins de chaque rôle au sein de l'entreprise. Pour assurer la pertinence, il est important de comprendre le «quoi», aspect de la formation, qui est discuté plus tard.

Comment doit-on la formation se déroule?Un exemple de la façon de mener la formation a déjà été donnée lorsque l'enseignement à distance a été utilisé efficacement. Des cours de formation sont également très efficaces, à la fois externe et en interne, et sur certains de la formation plus technique, il est important de fournir des mains sur les installations de formation. Il existe de nombreux fournisseurs spécifiques aux formations techniques et sociétés de conseil peuvent être employées pour cours de fonctionner sur presque n'importe quel aspect de la sécurité informatique. Dans certains cas, les fournisseurs proposent des road shows dans lesquels ils offrent une formation gratuite à divers endroits à travers le pays, en vue de démystifier les aspects sécuritaires de leurs produits et, par conséquent, aider à bâtir la confiance et la confiance en eux. Self-Help formation est facilitée par les nombreux sites Web offrant des directives de sécurité, dont plusieurs sont décrits et relié au site Web à SAINT www.intellectuk.org / saint.

Un bon exemple d'auto-assistance des lignes directrices, écrit en langage simple et principalement au marché des PME, sont les consignes de sécurité web AEB, qui peut être trouvé à www.intellectuk.org/ publications / business_guidance_papers / web_sec_guidelines.pdf. Ces orientations sont complémentaires à l'ISO / CEI 17799 et de fournir un cadre pour élaborer et appliquer des mesures de sécurité efficaces pour gérer les risques de sécurité qui pourraient affecter un site Internet et processus d'affaires électroniques. Un autre bon exemple est le guide de l'US National Cyber Security Alliance, qui peut être trouvé à www.staysafeonline.info, fournissant de nouveau d'orientation dans un langage clair pour le cyber-citoyen et les petites entreprises. Comment cette formation est gérée est un autre facteur important, et un bon véhicule pour ce serait au sein de l'Investors in People générale d'être adopté par de nombreuses organisations. De plus amples informations sur cette norme de qualité peuvent être trouvés à www.iipuk.co.uk.

Quelle formation est nécessaire?

Quelle structure de formation serait le plus efficace en

à long terme?Cette section propose la création d'une structure efficace pour la formation à la sécurité doit être celle qui est fondée sur les neuf principes décrits dans les lignes directrices de l'OCDE. Ces lignes directrices stipulent que: «Tous les participants seront aidés par la sensibilisation, l'éducation, le partage de l'information et de formation qui peuvent conduire à l'adoption d'une meilleure compréhension et pratiques de sécurité. Les lignes directrices de l'OCDE ne sont pas détaillés dans cet article, il est donc recommandé que les points suivants l'article est lu en conjonction avec les lignes directrices (les neuf principes sont clairs et concis, d'être décrit en trois pages).

Principe 1 - SensibilisationLa nécessité d'une sensibilisation à la sécurité a déjà été décrite en détail dans les sections d'ouverture de ce document. Les lignes directrices s'étendre sur l'importance de la sensibilisation aux risques que la première ligne de défense et de comprendre les gens aux conséquences découlant de l'utilisation abusive des systèmes et réseaux d'information. Pleuvait doivent donc s'assurer que les personnes dans tous les rôles bien comprendre ces risques, et ce qu'ils doivent faire pour les atténuer.

Principe 2 - ResponsabilitéCela a été touché sur la précédente en ce qui concerne notamment la pertinence de l'information au sein des objectifs personnels d'un individu et la description d'emploi. Les lignes directrices de promouvoir des pratiques de bonne gestion en termes de veiller à ce que les individus sont conscients de leurs responsabilités et doivent rendre des comptes. La formation devrait donc être prévue pour aider à assurer les personnes possèdent les compétences et les connaissances nécessaires pour qu'ils puissent s'acquitter de cette responsabilité.

Principe 3 - RéactionCelui-ci reconnaît que les incidents de sécurité va se produire et qu'il est important d'y répondre dans un esprit de coopération et opportune. Cela soulève un point important en termes de co-opération, car idéalement, une formation aurait besoin d'informer sur les malheurs des autres - qui est, apprendre des erreurs des autres. Toutefois, le partage de l'information est reconnu comme étant difficile en raison de la perte potentielle de la réputation à raison du risque de médias antipathique rapports. La formation doit donc tenter d'inclure un contenu à partir d'informations partagées sur les questions sensibles telles que les incidents. L'introduction du partage des renseignements et des centres d'analyse (ISAC) aux États-Unis est une tentative pour faire cela (voir https: / / www.it-isac.org) comme un exemple dans le secteur des TI.

Principe 4 - ÉthiqueCela est fondamental pour changer la culture en termes de rendre les gens reconnaissent que leur action ou inaction mai nuire à autrui. Aux États-Unis, sécurité des informations est maintenant enseigné au niveau scolaire afin de changer la perception que «le piratage est cool '. Les organisations font également la promotion des codes de conduite éthiques et l'Institut des administrateurs (IoD), en particulier, ont publié un code de déontologie relatifs à la sécurité de l'information. La formation doit donc être fournies sur des codes tels que ceux-ci et remis à toutes les personnes dans une organisation. Un bon endroit pour commencer est la formation initiale.

Principe 5 - La démocratieCela peut souvent être considérée comme acquise au Royaume-Uni, mais il répond au besoin de sécurité de l'information pour être compatible avec les valeurs essentielles d'une société démocratique. Un aspect de ce trait à la vie privée et le droit d'un Etat à accéder à des informations sur un individu. Deux morceaux de la législation britannique qui se rapportent à cet aspect sont le Data Protection Act 1998 et le règlement de Investigatory Powers Act 2000. La formation doit donc être fournie pour aider les gens à comprendre la législation pertinente, tant en termes de leurs droits et ce qui est illégal.

Principe 6 - Evaluation des risquesLes participants sont encouragés à mener des évaluations des risques dans cette section des lignes directrices. Le risque est un terme utilisé par certains, mais, sans doute, compris par quelques-uns. Par exemple, quelle est la différence entre l'évaluation des risques et la gestion des risques, et comment faire pour les réaliser? La formation devrait être donnée sur le risque et comment il se rapporte au rôle de l'individu dans l'organisation. Je dirais que c'est un sujet essentiel et qu'il doit être enseigné à tous les niveaux et à tous les rôles au sein d'une organisation, comme il s'agit d'un premier moteur vers une culture de sécurité au courant.

Principe 7 - Conception de sécurité et mise en œuvreJe dirais que c'est l'un des principes les plus fondamentaux des lignes directrices de l'OCDE où elle indique que les systèmes, les réseaux et les politiques doivent être correctement conçus, mis en œuvre et coordonnés afin d'optimiser la sécurité. Je crois fermement que cette offre l'une des plus grandes opportunités d'amélioration, mais ce principe est souvent négligé - en témoigne l'enquête de sécurité DTI, qui a déclaré «Pourtant, seulement 14 pour cent des entreprises du Royaume-Uni (32 pour cent des grandes entreprises) toujours documenter la manière dont exigences de sécurité sont abordées dans leconception des projets de TI et de 25 pour cent (8 pour cent des grandes entreprises) ne jamais ". La formation devrait être fournie sur la manière dont la sécurité ne peut être conçue dans des systèmes informatiques et réseaux, ainsi que sur la mise en œuvre et le maintien d'une manière sécurisée. Les fournisseurs et les utilisateurs doivent apprendre à leurs employés la façon de le faire, et les clients devraient enseigner à leurs employés comment se procurer des systèmes et des services qui seront sécurisés.

Principe 8 - Gestion de la sécuritéLes lignes directrices stipulent que les participants devraient adopter une approche globale de la gestion de la sécurité. Le candidat évident sur lequel cela peut être fondée est la BS 7799 du code de pratique pour la gestion de l'information de sécurité, qui est décrite brièvement plus haut dans cet article et ailleurs dans le présent article. Formation devrait être dispensée dans le contexte de la structure et l'approche d'une bonne information Gestion de la sécurité tel que décrit dans la norme BS 7799, Partie 1 (ISO / IEC 17799:2000).

Principe 9 - RéévaluationCela concerne la transition de l'étape 4 à 1 dans le cycle d'apprentissage décrits plus haut, qui nous rappelle que les nouveaux et l'évolution des menaces et des vulnérabilités sont constamment découverts, ce qui incite la nécessité de revoir en permanence les contre-mesures appropriées. La formation de sécurité devrait, par conséquent, ne pas être un événement unique pour tout individu, mais devrait être assurée en permanence pour répondre aux besoins de l'environnement en mutation. Cela s'applique également à la sensibilisation de sécurité, comme il est important de continuellement réévaluées, la nécessité d'appliquer les bonnes pratiques de sûreté. Sinon, il ya un risque de complaisance, surtout si aucun incident majeur ne se produisent.

Conclusion

un article présenté par Frank C.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «Pourquoi la formation de sécurité important» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.