各公司陸續(xù)制定安全意識培訓(xùn)計(jì)劃
加速這種趨勢的原因是,許多企業(yè)都要求雇傭的軟件公司能夠遵守更嚴(yán)格的安全標(biāo)準(zhǔn)。此外,越來越多的企業(yè)意識到,雇員的錯(cuò)誤可能導(dǎo)致高額的罰款,甚至導(dǎo)致數(shù)據(jù)安全漏洞。
波士頓一家衛(wèi)生保健公司發(fā)現(xiàn)自身有多處違反HIPAA標(biāo)準(zhǔn)的地方。幾天后,公司的高管決定投資為雇員進(jìn)行加強(qiáng)安全意識的培訓(xùn)。與此同時(shí),一家明尼蘇達(dá)州銷售生產(chǎn)率軟件(productivity software)的公司為其眾多的軟件開發(fā)人員進(jìn)行了安全培訓(xùn)。這兩家公司都是受外部因素的影響開始進(jìn)行培訓(xùn)項(xiàng)目:審計(jì)失敗,且用戶的需求在增長。
據(jù)專家和分析師分析,安全意識培訓(xùn)將會(huì)越來越普遍。Safelight安全顧問公司的創(chuàng)始人兼CEO Rob Cheyne說,失敗的審計(jì)、數(shù)據(jù)漏洞以及其他對知識產(chǎn)權(quán)和敏感數(shù)據(jù)產(chǎn)生危險(xiǎn)的因素令企業(yè)不得不加強(qiáng)員工的安全意識。
“你不可能依靠技術(shù)解決所有的安全問題,”Cheyne說,“主動(dòng)進(jìn)行安全教育,可以使員工意識到他們在保護(hù)公司安全的過程中扮演著極其重要的角色。”
Safelight公司在上月舉行的2011 RSA會(huì)議上推出了他們的安全教育藍(lán)圖(Security Education Blueprint),幫助企業(yè)在內(nèi)部評估不同小組的風(fēng)險(xiǎn)狀況,滿足對雇員進(jìn)行必要的安全教育的需要,Cheyne解釋道。
盡管Cheyne提供的培訓(xùn)計(jì)劃能服務(wù)于最終用戶和IT企業(yè),但他說他***的樂趣還是在于教授軟件開發(fā)者安全編程的基本知識。“你將會(huì)有多次恍然大悟的感覺——‘啊,原來是這樣’,”Cheyne說。他表示,很多時(shí)候,一個(gè)公司的***弱點(diǎn)不是最終用戶,而是經(jīng)理和業(yè)務(wù)主管,他們是最需要接受安全培訓(xùn)的人。
“企業(yè)需要的安全培訓(xùn)方式是,培訓(xùn)(方式)能令員工和業(yè)務(wù)過程與其他員工或業(yè)務(wù)產(chǎn)生互動(dòng),”Cheyne說道,“企業(yè)里面的每一個(gè)人都有相應(yīng)的職責(zé)。”
Michael Kaiser是非營利性組織國家網(wǎng)絡(luò)安全聯(lián)盟(National Cyber Security Alliance)的執(zhí)行主席,該組織每年都會(huì)舉辦網(wǎng)絡(luò)安全意識宣傳月活動(dòng)。他說,人們的安全意識在不斷提高;技術(shù)在保護(hù)珍貴資產(chǎn)方面的作用是有限的。該組織發(fā)起了主題為“停下,思考,連接”的活動(dòng),主要面向消費(fèi)者,但是國土安全部也利用這一活動(dòng)宣傳聯(lián)邦級別的安全。
“我們確實(shí)正在合作,以期我們的主題思想能夠被廣泛接受,”Kaiser表示,“這需要時(shí)間,但有希望的是,隨著時(shí)間的推移,企業(yè)、非盈利組織、政府機(jī)構(gòu)及其他組織都會(huì)使用這個(gè)思想。它將成為公眾意識的一部分。”
安全軟件發(fā)展的進(jìn)步為安全業(yè)帶來了希望,Gary McGraw這樣說道。他是來自華盛頓特區(qū)的軟件安全咨詢公司Cigital的***技術(shù)官。McGraw說,大型企業(yè)更愿意公開分享他們的安全軟件開發(fā)進(jìn)展,這樣小型公司能夠利用這些資源。他負(fù)責(zé)了Building Security In Maturity Model(建立安全成熟度模型)項(xiàng)目的研究工作,該研究由進(jìn)40家大型企業(yè)倡議進(jìn)行。
McGrwa和Sammy Migues,是Cigital培訓(xùn)和教育部門的主管,Brian Chess則來自加利福尼亞州圣馬特奧市的軟件安全保險(xiǎn)供應(yīng)商Fortify軟件公司。他們進(jìn)行了大量的采訪,找出了長期有效的安全工作流程。
“我們訪談的所有公司都在軟件安全過程的客觀測量方面進(jìn)步明顯,”McGraw說,“你可能會(huì)樂于見到企業(yè)行動(dòng)起來并承擔(dān)責(zé)任。我認(rèn)為以后我們會(huì)看到更多(進(jìn)步)。”
【編輯推薦】
- 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
- 黑客稱多數(shù)財(cái)富500強(qiáng)企業(yè)員工缺乏安全意識
- 警防虛假殺毒軟件彈出詐騙 建立一個(gè)安全意識培訓(xùn)計(jì)劃
- Linux用戶安全意識缺乏導(dǎo)致僵尸病毒大傳播
