身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
兩個禮拜前,我參加在舊金山舉行的RSA 2013大會,並對所參加資安廠商的數量留下了深刻的印象。除了參加者的因素以及技術性會議裡突破性的研究發表外,技術性會議今年的演講場次也讓人耳目一新。
下面是我對於資訊安全意識、駭回去和合法攻擊等值得關注議題的一些經驗和想法。
安全意識計畫的七個有效習慣
Security Mentem的Samantha Manke和Ira Winkler討論了他們對於安全訓練和安全意識之間不同點的看法。他們強調公司內部安全文化的重要性,讓員工可以在日常作業裡應用最佳實作,進而導致組織內的長期安全意識。
他們介紹了最近針對財富500大公司中包括保健、製造、食品,金融和零售等行業的研究結果。這次研究重點在這些公司所實行的安全意識活動,以及它們的效果。他們提出了主要的發現,來建立他們的「安全意識計畫的七個有效習慣」:
- 建立堅實的基礎
- 讓組織買單
- 鼓勵參與式學習
- 更多創造性的努力
- 收集指標
- 和主要部門合作
- 成為知道該如何做的部門
我對這場演講的主要感想當然是在最後一個部分。我們身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
我知道需要詳定什麼是該做而什麼是不該做的事情在公司安全政策內,但我們應該提高標準,將安全性成為幫助業務的一個重要部分,而非阻礙。