本周要闻

正文

CSO高峰论坛 | 谈谈《企业安全文化建设的思考与工具》

导读

      12月13日,Freebuf 中国信息安全官高峰论坛在上海举行。上海市信息安全行业协会副秘书长、易念科技总经理王怀宾,以《企业安全文化建设的思考与工具》主题演讲,为大家介绍企业在安全文化建设上可以怎么做。
 
1

上海市信息安全行业协会 副秘书长

易念科技 总经理 王怀宾

近年来,全球重大网络安全事件不断发生,其造成的后果和影响也在不断扩大。

      一个包含约220万条恐怖分子与“高风险个人及实体”记录的银行业数据库泄露在互联网上。引起BBC专题报道。
      孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客钓鱼邮件攻击.该银行被盗8100万美金。
黑客通过社工方式入侵俄罗斯中央银行电脑系统。银行的代理账户损失20亿卢布(约合3100万美元),银行官网瘫痪并引起世界范围内对网络完全的恐慌。
      WannaCry勒索病毒在全球范围内爆发,造成全球99个国家和地区超过7.5万起电脑病毒攻击事件。我国教育、银行等多个行业也遭受了不同程度的影响。紧接着6月变种“Petrwrap”由乌克兰和俄罗斯开始爆发,逐渐蔓延到欧洲多国。
      印度外包公司塔塔(Tata)员工将大量金融客户的源代码和文件上传到GitHub的公共代码库。6家知名加拿大银行、2家著名美国金融机构、1家跨国日本银行、1家年收入数十亿美元的软件公司受到波及。
      数据安全公司UpGuard证实,亚马逊的云空间上存在一个美国选民数据库,因数据库配置不当导致用户信息泄露,不用密码即可访问,数据总量大于1.1T。其中几乎包括了所有2亿(超过全美人口61%)美国登记选民的个人信息。
     社工方式造成银行信息泄漏、勒索软件病毒、安全配置不当造成的数据库泄漏、钓鱼邮件造成的银行资金被盗、违规上传信息资料到云端、第三方外包管理出现漏洞……一系列的安全事件,不断给各个企业的信息安全官们敲响警钟——信息安全工作,到底哪里出现了问题?是乙方的技术缺陷?安全产品缺乏? 

      10%的安全问题源自底层的技术缺陷,如各种0 day
      15%的问题出自管理不当,如没有及时打补丁
      25%的问题源自未能及时发现与处置,缺乏安全岗位或技能
      50%的问题源自员工误操作、弱密码、辨别和防范安全威胁意识不强

 

社工、钓鱼邮件、违规的安全配置、违规的文件存储上传…… 都说三分技术、七分管理,那么良好的安全意识是否可以进一步完善企业的整体安全水平和层次呢?

      如果说,一个企业的信息安全工作,就好比是一个人的健康生活。企业的信息安全官,就是这个企业网络信息安全工作的“健康大管家”。除了需要日常的“营养调理”、“锻炼”以外,也离不开健康生活的理念和方法。CSO们的外忧内困:APT。外部有APT(Advanced Persistent Threat,高级持续威胁),内部也有——(A Piglike Teammate猪一样的队友)。往往再厉害的技术防护手段、再科学严谨的管理方法,也难敌“猪一样的对手”一次的纰漏。社工、钓鱼邮件、贪图省事的文件存储、不良的办公习惯,都可能是安全事件爆发的源头。所以说,安全教育,不仅是针对技术人员的、也是行政人员的、业务人员的,是面向全员、不同层面的。

2

企业开展意识教育到底面临哪些问题

      难道这么多的企业,没有一家意识到这样的问题吗?技术、管理都到位了,该合规的都合规了,一定就放心了吗?不一定,很多企业都意识到:安全意识工作也很重要。可是,真正去开展有针对性、有实质性全员的安全意识教育工作的企业屈指可数。

原因就在于,企业开展意识教育往往存在着以下一些的难点:

     1、时间。
     几千人规模的企业,开展员工的工作,需要耗费大量的人力、物力和精力。大家首先想到,请专家、老师,组织场地,把员工们聚在一起做培训。也许培训费用是可接受的、必须的,可是由此产生的高昂误工费用、业务停摆的高额损失摆在那里,这让很多企业都感觉望而却步。时间成本这么大,去完成培训工作,最终很可能是象征性的,走走过场、甚至是 不了了之,起不到什么真正的效果。
     
      2、资源。企业开展意识教育,就涉及到“谁来发起,谁来做”的问题?

HR说,这是培训活动,找培训部;培训部说,这是技术问题,找科技部;科技部说,行吧,那就我来吧,和大家讲讲技术,说说漏洞。

可是,最终没效果。讲师资源、内容资源,看上去简单,事实上,要真正做到符合场景、满足需求,是有一定难度的,学习素材、讲师资源都是缺乏的。

3、方法。

怎么开展?培训搞不了?那么,张贴海报、易拉宝的宣传方式,可行吗?

类似这样的宣讲其实很多,员工会注意到吗?注意到,能记下来的又是多少?注意到,在工作生活中能用到的几乎是翎毛凤角。显然这种宣讲的效果并不理想,甚至可以说效果接近于零,与教育员工的目的差之甚远。

一些成规模的企业还有E-learning的电脑pc端的学习,但事实上学习的效果如何?大家是否认真参与其中了你?

如果缺乏运营,没有学习效果的评估和反馈,没有参与的统计缺乏,那么可以说是没有效果、行不通的。所以,当前企业开展的安全教育是存在方式方法上的困境。

企业内构建“安全意识文化”使用工具和方法开展持续运营

       通过这几年的在安全意识教育领域的尝试和探索,总结出的一些【方法论】,和大家分享。当然,这个【方法论】也是在不断持续改进过程中的。3

      方法论

1、先做测评

对现有情况的了解,制定有特点、有侧重的安全教育计划;

2、开展教育

采取多种形式、不同对象的内容建设(高管、前台、技术、业务),使用不同载体(电子的、平面的)的学习内容;

3、教育学习效果的主动验证

学习的实际效果怎么样?通过知识赛等方式前去验证;

4、加强技能培训

专业人员、专门的部门,需要有技能相关培训。开发人员的仪式,决定安全情况。运维人员。只靠安全人员做安全是远远不够的,其他相关的部门人员的技能提升也是需要的。由此持续改进和完成的良性需求。最终围绕目标(企业安全文化建设),持续开展运营。

      1、知识赛、测评工具。
      利用手机,碎片化植入,安全认知水平,移动端,开展游戏化操作的线上知识赛。知识赛,可以起到“以赛促学、以学促用”的积极作用。易念科技开发、运营的「享安全」平台,在2017年开展全民知识赛、行业知识赛,取得了不错的效果和成绩。
     
      2、主题包的学习方式。各种形态开展,例如书籍、手册、课件、小视频,植入安全教育的各个环节,结合工作场景的实际情况,形成符合企业自身安全特点的学习素材包。

在主题上的准备,紧跟时事热点,例如勒索软件等等,按照月度产出的H5月刊安全学习,增强学习。

形成衍生品,例如安全主题的屏保、钥匙扣、笔记本、台历,形成一种安全文化的氛围和环境。

4

3、钓鱼模拟

使用钓鱼模拟来评判一个企业的安全意识水平,是当前国际主流的测试方法之一。

通过钓鱼邮件模拟入侵,进行仿真的测试,看看企业员工面对模拟的安全威胁如何应对、应对的效果如何?之后再通过嵌入式学习,对勒索软件等相关教育的知识点,开展针对性的教育和传播,达到较好的效果。

这也是对企业安全管理的一次检验,在面对出现的安全威胁(钓鱼邮件等),如何处理、上报企业的安全部门的流程是否通畅规范、相匹配的应急方案完备与否……

5

4、竞赛训练

安全人才缺口大。从高校培养是一方面,企业内部的培养也很重要,现在岗位的人没有开展训练,在企业开展培训有困难。

利用竞赛方式,以赛促练,内部的技能竞赛,在企业内部,有针对性的课程培训、解决这些问题。企业端开展。利用竞赛平台,开展企业内部的线上CTF、理论赛事。

6

5、企业安全周

以运营的方式,企业安全文化的运营,全员公司参与的活动。策划、线上、互动、互动的闭环操作,之后进行传播。让更多人看到。

在企业中定期开展类似安全周的活动,将安全教育工作融入企业安全文化的建设之中。

国家在每年9月第三周设立国家网络安全宣传周活动,安全法也要求定期开展全员的安全教育。根据我们6年组织安全周的经验,企业开展安全周可以分为五个阶段开展。

安全周活动,侧重于在企业整体安全文化建设的范畴之中。通过“游戏化知识传递”、“手册和衍生品的发放”、“案例互动参与体验”、“意识水平诊断报告”、“体现安全目标”的方式,形成线上传播、互动体验为特点的闭环良性发展。

7

形成企业安全文化防患于未然,意识决定安全

      什么是“信息安全文化”?在维基百科中,Information Security Culture(信息安全文化)的解释和定义是:一个组织中保护信息的各种行为模式总和。一个企业面临的安全威胁等级,将会经历“风险阶段(Danger)”、“合规阶段(Compliance)”、“变更阶段(Change)”、“意识阶段(Mind)”、“文化阶段(Culture)”。8企业安全文化,是企业在自身信息安全建设上不断发展形成的行为模式体现。

用对方法,选好工具,对于提升企业自身安全文化建设、做好自身信息安全建设来说事半功倍。

      安全文化,以前只是狭隘地认为是安全生产文化,涉及到的只是设备资产和人身的安全。随着信息化的发展,数据保护的安全也日益重要,安全文化在新时代被赋予新的概念。企业内对安全的认知,应当有所提升和改进,作为企业信息安全的直接负责人,信息安全官们,更是要着眼于企业安全文化的角度衡量,如何将企业的安全工作做得更好,做到防患于未然,让意识决定安全。
9
10

 

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号