なぜ、セキュリティーの訓練が重要です

情報セキュリティ

訓練ジョンハリソンサン（セキュリティアライアンスからは、インターネットや新規の技術）をいくつかの雑誌には、訓練の問題では新鮮な視点かかるセキュリティ上のアドバイスや洞察を提供するに何を組織することができます 効果的なセキュリティトレーニングの要件に対処するためです。

なぜ、セキュリティーの訓練が重要ですか？これは明白な疑問のように聞こえるかもしれないが、どのような問題、セキュリティーの訓練を効果的に対処する可能性がある見することが重要です。研修は、'人'の問題です-再度、明確な声明が、これはしばしば我々は明らかに面しています。SANS Instituteは7つの経営トップのエラーを識別するために1850のコンピューターセキュリティーの専門家や経営者の間で、1999年に調査をリードするコンピュータのセキュリティの脆弱性。 1999年以来なので、これ以上うまくやっている必要があります、このリストの上部にある彼らは、管理'に移動してセキュリティを維持するためには、ジョブを'。周りを行う可能にすることも訓練も時間を提供する未熟な人々を割り当てるが見つかりました-または私たちですか？を判断するには、www.sans.orgでは、SANS研究所のウェブサイト/ newlookを訪問できるようにする/ここですべての7つのエラーが表示されているリソース、と自問する：これらのいずれかを自分の組織に適用されますか、最初のキーメッセージは、として本当、今日はそれは1999年だったが、情報セキュリティのトレーニング、誰もが関与すべきは、ITのニーズに部門を越えて拡張されます。家庭や最近ではCloserをするには、DTIはスポンサー セキュリティ違反の調査2002 （www.security - survey.gov.uk）、これは、情報セキュリティ示されたボードレベルでの優先順位の高いれたことがない（73パーセント53パーセントに、2000年）が、比べて比較的少数の事業を効果的に、この優先順位を翻訳しているアクション。調査は27のグローバルベンチマークに対し、英国の企業が一つの企業のIT予算のパーセント以上のセキュリティ対策への投資のパーセントのIT投資の下でのセキュリティのレベルを明らかにした4時57パーセントは、。おそらく、最も明らかに結果はわずか27％、英国企業のパーセントは、良質な情報セキュリティの基本的な側面は、セキュリティポリシーを持っている。調査は、最初の箇条書きの項目にされると、ボードのトップ10のアクションについてのアドバイスが含まれて'いることを確認、お客様のビジネスのセキュリティリスクについてのスタッフ教育することによってセキュリティを意識したカルチャを作成し自らの責任'。これは、セキュリティーの訓練や意識の別の支持です。

セキュリティの訓練と安全意識-何です 違いは？

、どのように、何もする必要があります誰が訓練する必要があります の訓練？ 人'、'か'と'か'質問は、個々のお客様のビジネスのニーズに上の'に依存するための答えが、次の点に適合している。

誰が訓練する必要がある？それは別の情報セキュリティトレーニングのいくつかの並べ替えある時点で、組織の中では、誰かを受信すると言うの場当たりではありません。ごとに、従業員は自分の仕事の説明では、セキュリティに関連する項目があるにし、必要に応じて、特定の当該個人の目標があるいくつかの組織ではそれも珍しくありません。私は1つの組織が80,000人以上の従業員のビデオを組み合わせて対話型のコンピュータが評価され、彼らの年間審査で議論ベースのコースによって配信されたのは、コスト上の理由物流のセキュリティトレーニングを受けることを目標があった知っている。アドバイスしたがって、独自の組織構造を調べるには、セキュリティトレーニングをレビューすることは、ビジネス内のそれぞれの役割が必要です。それの訓練は、後で説明されている'か'の側面を理解することが重要である妥当性を確認してください。

は、どのよう訓練を実施できるか？どのようにトレーニングを行うための一つの例はすでに、遠隔学習効果的に使用されて与えられている。トレーニングコースも、非常に両方の外の家で、その一部を手に提供するために重要なのは、技術的な訓練の上での訓練施設。多くのベンダー固有の技術研修コースであり、コンサルティング会社に採用されることが効果的です情報セキュリティのほぼすべての側面に焦点を実行するコースがあります。いくつかの例では、ベンダーがどこの国の様々な場所での無料のトレーニングを提供し、自社製品のセキュリティ面の神秘を解くため、信頼し、それらの信頼構築を支援するためのビューの道路を示しています。セルフトレーニング支援によって促進される多数のウェブサイトの多く記述され、サンのウェブサイトにwww.intellectuk.orgで/聖人リンク先のセキュリティガイドラインを提供します。

自己の良い例、平易な英語で書かれた中小企業市場を中心に、これで発見することができますAEB Webセキュリティガイドラインは、www.intellectuk.org/出版/ business_guidance_papers / web_sec_guidelines.pdfのガイドラインに役立ちます。これらのガイドラインのISOを補完するもの/ IEC 17799との開発とは、ウェブサイトやe -ビジネスプロセスに影響を与える可能性があるセキュリティ上のリスクを管理する効果的なセキュリティ対策を実施するためのフレームワークを提供します。もう一つの良い例では、米国国立Cyber Security Allianceのは、www.staysafeonline.infoで発見することができますから、マニュアルを再度サイバー分かりやすい言葉で指導を提供し、市民や中小企業です。どのようにこの訓練を管理されて、別の重要な考慮事項は、この人々で、一般投資家の皆様には標準で多くの組織が採択されることになるために良い車。この品質規格に詳しい情報www.iipuk.co.ukで発見することができます。

どのようなトレーニングが必要ですか？

どのようなトレーニング構造であるように、もっとも効果的

長期的な？このセクションでは、セキュリティーの訓練のための効果的な構造の1つは、9つの原則は、OECDガイドラインの説明に基づいている必要がありますを提案する。は、：'すべての参加者の意識、教育、情報を共有し、より高いセキュリティの理解と実践の普及につながる可能性のトレーニングによって支援されるこれらのガイドラインの状態。OECDガイドラインは、この資料に詳細されていませんので、それは、次の推奨されセクションでは、ガイドラインと一緒に（9原則を明確にかつ簡潔に、3つのページで説明されて読み込まれます）。

原則として1 -意識セキュリティ意識の必要性はすでにいくつかの詳細は、この文書の冒頭のセクション内に記述されています。ガイドラインは、防衛のために最初の行との人々の結果、情報システムやネットワークの不正使用から生じる理解し、リスク意識の重要性を展開します。雨のため、すべてのロールの人々を明確にし、これらのリスクを理解して何をする必要があることを確認する必要がありますそれらを軽減するためです。

原則2 -責任これは、以前に、個々の個人的な目標や仕事の説明の中で、情報セキュリティの関連性などの面で触れている。ガイドラインでは、個人が自分の責任を自覚し、責任があるの確保の面で良いの経営慣行を促進する。トレーニングしたがって、提供しなければならない人々を確保するために必要なスキルや知識を彼らのために、この責任を放電する必要があります。

原則3 -レスポンスこの認識は、セキュリティインシデントとは、彼らに共同で対処する術をタイムリーに重要ですが発生します。このような協力の面で重要なポイントを発生させます操作ため、理想的なトレーニングを他の人の不幸に通知するために-必要ないだろうが、他の人の過ちから学ぶ。しかし、情報を共有されて評判を冷淡なメディアの報道の危険性から生じる。訓練の潜在的な損失のために困難なため、事件など敏感な問題に関する情報を共有からのコンテンツを含めるように試みる必要がありますとして認識されます。米国では情報の導入を共有し、分析センター（アイザックス）1つの試みは、この（ご覧ください。https：/ / www.it - isac.org）は、IT内の例のように部門を行うことです。

原則4 -倫理これは、文化の変化に人々は、彼らの行動や怠慢などの危害の発生を認識するという点での基本です。で'は、ハッキングのクールされている認識を変えることは、米国では、情報セキュリティは今、学校のレベルで教鞭を執っている。組織はまた、倫理、情報セキュリティに関連するコードを公開している特定の行為の倫理的なコードや研究所取締役（IOD現象）、推進しています。トレーニングしたがって、コードでこれらのすべての人々に組織内の配信などを提供する必要があります。を開始するには良い場所誘導訓練している。

原則として5 -民主主義のための英国で付与これは頻繁に撮影することができますが、それは民主主義社会の本質的な値と互換性があるため、情報セキュリティの必要性に対処します。このプライバシーと個別にアクセスするための国家の正しい情報を関係の1つの側面である。英国の法律は、この点に関連する2個のデータ保護法が1998年と調査権限法は2000年のレギュレーションです。トレーニングしたがって、自分たちの権利の条件の両方に関連する法律を理解するため、何は違法である提供される必要があります。

原則6 -リスクアセスメント参加者は、ガイドラインのこのセクションでリスクアセスメントを実施することが推奨されます。Riskは、長期の多くが、間違いなくによって使用される、いくつかの理解です。たとえば、何のリスク評価とリスク管理の違いであり、どのように行うのですか？トレーニングのリスクと指定する必要がありますがどのように個々の役割には、組織内の関係。私は、この重要なトピックであると主張するだろうが、すべてのレベルですべてのロールには、組織内指導する必要があるとして、セキュリティ意識の文化への原動力です。

原則7 -セキュリティの設計と実装私はこの1つは、OECDガイドラインではその状態は、システム、ネットワーク、およびポリシーが適切に実装との共同設計されるため、セキュリティを最適化するのとれた必要があるのは、最も基本的な原則であると主張するだろう。私はしっかりとこの1つは、この原則として改善のための最大の機会をしばしば無視されます-英国の企業（32大企業のパーセント）は、常にパーセントが'しかし、規定はDTIのセキュリティ調査では、わずか14日までに証憑書類を提供し信じてどのようにセキュリティ要件に対処されている設計する ITプロジェクトの25パーセント（8大企業のパーセント）'が行うことはありません。トレーニング方法については、ITセキュリティへのシステムやネットワークの設計が可能で、同様の実装に、それらを維持する上で安全な方法で提供される必要があります。サプライヤーとユーザーがどのように行うためのスタッフを教える必要があり、クライアントは、スタッフがどのようにシステムやサービスは、セキュリティで保護されます調達を教える必要があります。

原則8 -セキュリティ管理指針によると、参加者のセキュリティ管理への包括的なアプローチを採用する必要があります。の構造とアプローチ良い情報のための背景を提供しなければならないが、この基づいていることが明らかな候補者は簡単にこの資料の前半で、他の場所は、この資料に記載されている情報セキュリティ管理のための練習はBS 7799コードです。トレーニング7799第1回学士の機構（ISO / IEC 17799:2000を参照）などのセキュリティ管理。

原則9 -更正これは、移行するステージ4から1には、学習サイクルで、以前、これは新たな変化の脅威と脆弱性を継続的に発見されている必要があります常に。セキュリティトレーニングは、適切な対応策を検討するように求めるため、すべきではない思い出させてくれる説明関係個々のための継続的に提供しなければならない1つのイベントが、変化する環境のニーズを満たすために。として継続的に再することが重要ですこれは、セキュリティに対する意識には、適用される適切なセキュリティ慣行の必要性を強制します。そうでなければ、自己満足の危険性は、特にない場合は重大なインシデントが発生されます。

おわりに

記事は、フランクC提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"なぜ、セキュリティーの訓練の重要な"自動ソフトウェアによって翻訳されています。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。