當前位置:
首頁 > 最新 > 首席信息安全官:向砍「安全意識」培訓預算的老闆 Say No!

首席信息安全官:向砍「安全意識」培訓預算的老闆 Say No!

4·29首都網路安全日開幕在即,2018年將延續 「網路安全同擔、網路生活共享」 的主題。網路安全不僅關乎國家安全、社會安全、經濟安全、關鍵信息基礎設施安全,我們每個公民的日常工作生活,甚至人身安全都與網路安全休戚相關。

在國家層面,美國早在2004年就開展了 「國家網路安全意識月(National Cyber Security Awareness Month)」 活動,歐盟在2012年開展 「歐洲網路安全月 (European Cyber Security Month)」 ,我國在2014年首次啟動了 「國家網路安全宣傳周(China Cybersecurity Week)」, 各國政府主導的網路安全意識教育活動通常有明確的目標,並確保資金持續投入。長期來看,這些活動將有助於提高全民的網路安全意識、降低民眾乃至國家遭受網路安全風險的可能性。

在企業層面,一些注重網路安全的企業已經行動起來,開展各式各樣的網路安全日、安全周、安全月等活動,然而大部分企業因各種原因,並未能建立有效的安全意識培訓計劃。首席信息安全官/信息安全總監滿腔熱情想提升員工安全意識,但往往受困於企業安全文化缺失、管理層對安全的重視不足、嚴苛的預算、領導本身意識的淡薄、資源不足(部門配合意願低)等。

先來了解一下安全意識培訓的投資回報率(ROI)問題: 美國SANS研究院提供的圖表顯示了安全意識培訓的最佳預算 「甜蜜點(Sweet Spot)」, X軸表示為保護企業安全所付出的努力程度,企業投入的時間、資源和努力越多,員工的安全意識就越強。最左邊是大多數企業員工所在的位置,員工安全意識淡薄;最右邊是具備優秀安全知識、意識與技能的安全極客。Y軸衡量企業的投資回報,甜蜜點是企業可以獲得最大投資回報的位置。投入太少,員工的安全思維和行為習慣沒有形成,企業時刻會面臨安全風險。投入過多,有可能矯枉過正。安全意識培訓的目標不是將所有員工變為安全專家,要把握分寸,企業根據企業面臨的風險環境,考慮風險容忍度,以及現階段全體員工安全意識的成熟度,適當調整相應預算是明智的。

安全意識培訓最常見的兩大目標是降低風險和滿足合規性。如何獲得老闆支持,爭取合理預算、資源投入意識教育項目?可以幫助公司減少多少可量化的安全風險?如何衡量安全意識計劃的ROI是企業安全負責人會遇到的挑戰,需要將安全目標與業務目標、企業品牌、數據泄露風險的可能損失等聯繫起來,並做好充分準備回答安全意識培訓到底能給企業帶來什麼價值,老闆的質疑經常會是:

「公司從未發生過安全事件,安全意識培訓有必要嗎?」

黑客攻擊會發生在任何時間、任何地點,黑客在系統里潛伏的平均時長達200餘天。在複雜多變的黑客攻擊面前,沒有企業或個人能夠成為幸運兒。在安全生產管理領域,「安全第一、預防為主」是基本方針,企業網路安全管理同樣重在預防。每一家公司都應該通過提升全體員工的安全意識,做好隨時會被黑掉的準備,以便第一時間減少網路安全事件帶來的風險與損失。

「我們是小公司,對黑客來說沒多大價值,沒必要擔心安全意識問題吧?」

老闆有這種觀念是非常危險的!2017年整個網路空間並不太平,重大數據泄露事件的新聞也屢屢見諸報導,黑客攻擊的對象也不斷擴展:從政府組織到大中型企業、互聯網企業、醫院、電網,再到小創業公司均無一倖免。黑客攻擊大公司的成本和難度往往很高,而中小企業安全防禦能力與安全意識較差,更容易成為黑客的「獵物」,且小公司的財務信息、客戶數據、知識產權等同樣具有吸引力。

「我們已經部署了那麼多安全技術措施,足以抵禦黑客攻擊了!」

據世界經濟論壇(WEF)發布的《2018年全球風險報告》顯示:大規模網路攻擊威脅是Top10威脅場景中由人為因素造成的最高威脅。企業所部署的所有安全技術與解決方案的有效性,最終取決於「人」。全體員工安全意識提高了是否就一定能杜絕網路安全風險?不一定。但可以肯定的是,員工安全意識不強安全事件就會不可避免地頻發。大多數安全控制措施旨在針對某項特定風險,如:雙因素身份認證可以降低弱密碼風險、防病毒解決方案可以降低惡意軟體風險、郵件過濾可以緩解詐騙和惡意鏈接風險等。而實施安全意識教育這一層「控制措施」,不僅助於減輕任何以上三種風險,還可以降低包括社交媒體、移動設備、應用開發、勒索軟體等等更多風險。

「公司在安全方面的預算有限,安全意識培訓很可能要砍掉。」

確實需要一定成本,沒錢幹不了事兒,但安全意識培訓只需要較低的成本,就可以帶來可觀的持續回報。據Aberdeen Group於2017年7月份發布的一份定量分析報告顯示:在員工安全意識與安全培訓方面進行投資的企業,可有效降低安全風險高達50%,平均年投資回報率高達5倍。一旦發生數據泄露事件,有可能會給企業帶來滅頂之災(GDPR將於2018年5月25日實施,違反的企業將面臨年收入4%或2000萬歐元的巨額罰款)。

當老闆壓縮安全意識預算時,首席信息安全官不應拿 「公司不重視安全人才發展」 作為理由回應,而應冷靜地分析安全意識培訓預算到底是怎麼個花法?是否好鋼都用在了刀刃上?向老闆清晰地呈現全員安全意識培訓是公司最值得的投資。

公司管理層必須清醒地認識到,公司所面臨的整體網路安全態勢將隨著時間推移變得愈加危險。全球範圍內網路犯罪分子的數量在不斷增長,黑客攻擊的戰術、技能也在不斷發展和演變。只有持續實施安全意識教育計劃,將全員武裝起來,才能始終保持領先黑客一步!

另外,創建、實施和管理安全意識計劃確實需要投入時間和精力,要想安全意識計劃取得最大效果和投資回報率,必須配備至少一名專職的安全意識人員(如 Security Awareness Expert/ Advocate/ Leader/ Program Manager/ Specialist等),目前國內企業比較少設置相關崗位。

***************************************

參考資料

1. http://www.aberdeen.com/research/16709/16709-RR-Risk-Phishing-Training.aspx/content.aspx

2. https://www.sans.org/security-awareness-training/blog/security-awareness-visualizing-roi

*所有圖片均來源網路,版權歸原作者所有! 歡迎拍磚、交流,轉載請註明出處:超安全!


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 超安全 的精彩文章:

加強「網路安全文化」建設,勢在必行!

TAG:超安全 |