Perché la formazione è importante la sicurezzaInformazioni di sicurezza
formazioneJohn Harrison da SAINT (Security Alliance per Internet e delle nuoveTecnologie) ha uno sguardo fresco ad alcune delle questioni relative alla formazione in materia disicurezza e fornisce consulenza e di vedere in quello che l'organizzazione possa fare per affrontare con efficacia le loro esigenze di formazione sulla sicurezza. Perché la sicurezza è importante la formazione?Questo può sembrare una domanda ovvia, ma è importante guardare a ciò i problemi di formazione sulla sicurezza è probabile che per affrontare in modo efficace. La formazione è un 'problema di persone' - ancora una volta, un'affermazione ovvia, ma così spesso trascuriamo l'ovvio. SANS Institute ha condotto un sondaggio nel 1999, tra i 1.850 esperti di sicurezza informatica e ai dirigenti di identificare i sette errori del top management che conducono a vulnerabilità di sicurezza del computer . Nella parte superiore di questa lista hanno trovato che la gestione del 'assegnare le persone inesperte per mantenere la sicurezza e fornire né la formazione né il tempo per rendere possibile a che fare. Lavoro' Le cose si sono spostati dal 1999, quindi dobbiamo fare di meglio - o siamo noi? Per permettere di giudicare, visitare il sito web di SANS Institute www.sans.org / Newlook / risorse, in cui tutti e sette gli errori sono elencati, e chiedetevi: sono uno di questi casi alla mia organizzazione? Il primo messaggio fondamentale, che è come vero oggi come nel 1999, è la sicurezza delle informazioni che la formazione deve coinvolgere tutti, e vanno ben oltre le esigenze del reparto IT. vicino a casa e, più recentemente, il DTI ha sponsorizzato la Violazioni della sicurezza Survey2002 (www.security-survey.gov.uk), che ha indicato che la sicurezza delle informazioni non è mai stata una priorità più alta a livello di consiglio di amministrazione (73 per cento rispetto al 53 per cento nel 2000), ma le imprese sono relativamente pochi tradurre questa priorità in efficace azione. L'indagine ha continuato a rivelare il livello di sotto-investimento in sicurezza IT, con solo il 27 per cento delle aziende del Regno Unito che investono più di uno per cento del loro budget IT in misure di sicurezza, mentre il benchmark a livello mondiale è di tre al cinque per cento . Forse il risultato più evidente è che solo il 27 per cento delle aziende del Regno Unito hanno una politica di sicurezza, che è un aspetto fondamentale della sicurezza delle informazioni buone. L'indagine include consigli su i primi dieci azioni per la scheda madre, con il primo elemento puntato è quello di ' Assicurati che il tuo business crea una consapevole cultura della sicurezza attraverso l'educazione del personale sui rischi per la sicurezza e le loro responsabilità '. Questo è un altro riconoscimento per la formazione sulla sicurezza e consapevolezza. Sicurezza formazione e sensibilizzazione alla sicurezza - qual è il differenza? Che dovrebbero essere addestrati, come, e cosa dovrebbero essere addestrato? Le risposte a 'chi', 'come' e 'cio' domande dipende dal singolo individuo e le esigenze della vostra attività, ma i seguenti punti sono importanti. Chi ha bisogno di essere formati?Non è glib a dire che tutti in un organismo in un momento o in un altro dovrebbero ricevere un qualche tipo di formazione sulla sicurezza delle informazioni. In alcune organizzazioni non è insolito che per ogni dipendente, di avere un elemento di sicurezza connessi nella loro descrizione del lavoro e, se del caso, di specifici rilevanti obiettivi personali. Io so di una organizzazione in cui più di 80.000 dipendenti hanno l'obiettivo di una formazione alla sicurezza, che per motivi logistici e di costo è stato consegnato da una combinazione di video e di un computer interattivo corso di base, che è stato valutato e discusso la loro valutazione annuale. Il consiglio è, quindi, di esaminare una propria struttura organizzativa e di rivedere la formazione esigenze di sicurezza di ogni ruolo all'interno del business. Per garantire la pertinenza è importante per capire la 'cosa' aspetto della formazione, che viene discusso più avanti. Come deve essere effettuata la formazione?Un esempio di come condurre la formazione è già stata data in cui l'apprendimento a distanza è stato utilizzato in modo efficace. I corsi di formazione sono anche molto efficaci, sia esterna che in-house, e su alcune delle formazione più tecnica, è importante fornire le mani su strutture di formazione. Ci sono molti vendor specifici corsi di formazione tecnica, e società di consulenza possono essere impiegati per Corsi di funzionare su quasi ogni aspetto della sicurezza delle informazioni. In alcuni casi, i venditori di fornire road show in cui si offrono formazione gratuita in varie località in tutto il paese, al fine di demistificare gli aspetti di sicurezza dei loro prodotti e, quindi, aiutando a sviluppare la fiducia in loro. Self-help di formazione è facilitata dalla i numerosi siti web che offrono linee guida di sicurezza, molte delle quali sono descritte e collegati al sito web SAINT a www.intellectuk.org / santo. Un buon esempio di self-help linee guida, scritta in lingua inglese pianura e in primo luogo per il mercato delle PMI, sono le linee guida di sicurezza web AEB, che può essere trovato alla www.intellectuk.org/ publications / business_guidance_papers / web_sec_guidelines.pdf. Queste linee guida sono complementari alla norma ISO / IEC 17799 e di fornire un quadro per lo sviluppo e l'attuazione di misure di sicurezza efficaci per gestire i rischi di sicurezza che potrebbero influire un sito web e processi di e-business. Un altro buon esempio è la guida degli Stati Uniti dal National Cyber Security Alliance, che può essere trovato alla www.staysafeonline.info, ancora una volta fornendo indicazioni in un linguaggio semplice per la cyber-cittadini e piccole imprese. Come questa formazione è gestita è un altro aspetto importante, e un ottimo veicolo per questo sarebbe all'interno della generale Investors in People essendo adottato da molte organizzazioni. Ulteriori informazioni su questa norma di qualità può essere trovato alla www.iipuk.co.uk. Quale formazione è necessaria? Quale struttura di formazione dovrebbe essere la più efficace in lungo termine?Questa sezione propone una struttura efficiente per la formazione alla sicurezza dovrebbe essere uno che si basa su nove principi descritti nelle linee guida dell'OCSE. Tali linee guida stabiliscono che: 'Tutti i partecipanti saranno aiutati da sensibilizzazione, l'educazione, la condivisione delle informazioni e la formazione che può portare all'adozione di una migliore comprensione della sicurezza e delle pratiche.' Le linee guida dell'OCSE non sono dettagliate all'interno di questo articolo, si raccomanda che le seguenti sezione è letto in combinato disposto con gli orientamenti (i nove principi sono chiari e concisi, viene descritto in tre pagine). Principio 1 - ConsapevolezzaLa necessità di sensibilizzazione alla sicurezza è già stata descritta in dettaglio all'interno delle sezioni di apertura di questo documento. Le linee guida per ampliare l'importanza della consapevolezza dei rischi, come la prima linea di difesa e di persone per capire le conseguenze derivanti da un abuso di sistemi informativi e delle reti. Piovere Occorre pertanto assicurare che le persone in tutti i ruoli chiaramente capire questi rischi, e che cosa hanno bisogno per fare per ridurle. Principio 2 - ResponsabilitàQuesto è stato accennato in precedenza, in termini di includere l'importanza della sicurezza delle informazioni all'interno di obiettivi personali di un individuo e la descrizione delle mansioni. Le linee guida di promuovere buone pratiche di gestione in termini di garanzia che gli individui siano consapevoli delle loro responsabilità e sono responsabili. La formazione dovrebbe quindi essere fornite per garantire la gente ha le necessarie competenze e le conoscenze per loro di assumere questa responsabilità. Principio 3 - RispostaQuesta riconosce che gli incidenti di sicurezza si verifichi e che è importante per rispondere ad esse in un modo cooperativo e tempestivo. Ciò solleva un punto importante in termini di cooperazione, perché la formazione ideale sarebbe bisogno di informare sulle disgrazie altrui - che è, imparare dagli errori degli altri. Tuttavia, la condivisione delle informazioni è riconosciuto come difficile a causa della potenziale perdita di reputazione derivanti dal rischio di media simpatizzanti di segnalazione. La formazione dovrebbe quindi cercare di includere il contenuto di informazioni condivise su temi sensibili, come gli incidenti. L'introduzione di Information Sharing and Analysis Centre (ISACs) negli Stati Uniti è un tentativo per fare questo (vedi https: / / www.it-isac.org) come un esempio nel settore IT. Principio 4 - EticaCiò è fondamentale per cambiare la cultura in termini di rendere le persone riconoscono che la loro azione o inazione potrebbe danneggiare gli altri. Negli Stati Uniti, la sicurezza delle informazioni è ora viene insegnato a livello scolastico, al fine di modificare la percezione che 'hacking è cool'. Le organizzazioni sono inoltre promuovere codici etici di condotta e l'Istituto di Amministrazione (IOD), in particolare, hanno pubblicato un codice deontologico in materia di sicurezza delle informazioni. La formazione dovrebbe quindi essere fornite su codici come questi e consegnato a tutte le persone all'interno di un'organizzazione. Un buon punto di partenza è la formazione di induzione. Principio 5 - DemocraziaQuesto spesso può essere dato per scontato nel Regno Unito, ma risponde alla necessità di sicurezza delle informazioni per essere compatibile con i valori essenziali di una società democratica. Un aspetto di questa si riferisce alla vita privata e il diritto di uno Stato per accedere alle informazioni su un individuo. Due pezzi di legislazione del Regno Unito che si riferiscono a questo aspetto sono il Data Protection Act del 1998 e del regolamento di Investigatory Powers Act 2000. La formazione dovrebbe quindi essere fornite per aiutare le persone a comprendere la normativa, sia in termini di diritti e di ciò che è illegale. Principio 6 - Valutazione dei rischiI partecipanti sono invitati a valutare i rischi in questa sezione delle linee guida. Risk è un termine usato da molti, ma, probabilmente, compreso da pochi. Ad esempio, qual è la differenza tra la valutazione del rischio e gestione del rischio, e come si impegnano loro? La formazione dovrebbe essere data sul rischio e su come esso si riferisce al ruolo dell'individuo all'interno dell'organizzazione. Direi che questo è un tema fondamentale e che devono essere insegnate a tutti i livelli e per tutti i ruoli all'interno di un'organizzazione, in quanto si tratta di un motore primo verso una consapevole cultura della sicurezza. Principio 7 - Sicurezza di progettazione e attuazioneDirei che questo è uno dei principi più fondamentali delle linee guida OCSE in cui si dichiara che i sistemi, le reti e le politiche devono essere adeguatamente progettate, attuate e coordinate al fine di ottimizzare la sicurezza. Credo fermamente che questo offre una delle più grandi opportunità di miglioramento in quanto tale principio è spesso trascurato - dimostra l'indagine di sicurezza DTI, che ha dichiarato 'Eppure, solo il 14 per cento delle aziende del Regno Unito (32 per cento delle grandi imprese) sempre come documento requisiti di sicurezza sono state affrontate nelprogettare dei progetti IT e il 25 per cento (8 per cento delle grandi imprese) non è mai fare '. formazione dovrebbe essere erogata in modalità di sicurezza possono essere progettati in sistemi informatici e delle reti, nonché per l'attuazione e il loro mantenimento in modo sicuro. I fornitori e gli utenti dovrebbero insegnare loro personale modo di farlo, e clienti dovrebbero insegnare loro personale modo di procurarsi i sistemi e servizi che saranno sicure. Principio 8 - Gestione della sicurezzaLe linee guida stabiliscono che i partecipanti dovrebbero adottare un approccio globale alla gestione della sicurezza. Il candidato più ovvio in cui questo può essere basato BS 7799 è il codice di buona pratica per la gestione della sicurezza delle informazioni, che è discusso brevemente in precedenza in questo articolo e altrove in questo articolo. Formazione dovrebbe essere erogata nel contesto della struttura e l'approccio per una buona informazione la gestione della sicurezza come descritto nella BS 7799 Parte 1 (ISO / IEC 17799:2000). Principio 9 - RideterminazioneQuesto si riferisce al passaggio dalla fase 4 a 1 nel ciclo di apprendimento descritto in precedenza, che ci ricorda che nuove e mutevoli minacce e le vulnerabilità vengono continuamente scoperti, spingendo la necessità di rivedere continuamente le adeguate contromisure. Formazione sicurezza dovrebbe, pertanto, non è un evento unico per ogni individuo, ma deve essere fornito continuamente per soddisfare le esigenze del contesto in continua evoluzione. Ciò vale anche per la sensibilizzazione alla sicurezza, come è importante continuamente ri-applicare la necessità di buone pratiche di sicurezza. Altrimenti vi è il rischio di autocompiacimento, soprattutto se non si verificano incidenti significativi. Conclusione un articolo presentato da Frank C. Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni. Importante: Questo articolo "Perché è importante la formazione alla sicurezza" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.
|
|||||
| Online: 473 users browsing the articles directory |
|
|