沒有任何一項昂貴的縱深防禦的反應速度會比人快;教育員工對於安全的相關事項是必要的。
這是安全工作者最困難的工作之一:對使用者傳授安全。您如何在繁忙的工作日程中吸引員工的注意?您如何讓他們傾聽並記得要設定強健的密碼以及小心的開啟電子郵件中的附件?
為了應付這樣的困境,Lynne Pizzini利用了她口袋中的戲法。她在美國蒙大拿州藍盾與藍十字(Blue Cross and Blue Shield)(註1)訓練的演講中結合了魔術。她其中一個戲法是使用多條有顏色的圍巾來闡述強健密碼的重要性以及代表密碼裡面各種不同的元素;最後的結果是會變出一條有各種顏色的圍巾。
另一個魔術是要讓員工了解他們對於資料的所有存取可能會帶來最大的安全風險。Pizzini利用撲克牌來說明講習時所討論到的7個安全風險。她先讓員工隨意指定某一張牌,然後洗牌並反蓋這些牌,之後按照順序翻開這些牌同時也依序拼出 “right”的字母(隱喻員工總是想要做對的事);員工所選定的牌會在唸到字母“t”的時候出現。
藍盾的安全與隱私官員Pizzini表示在幾年前一系列對健康保險業700位員工的演講中首次結合了魔術並發現魔術的效果非常好。之後,員工告訴她,他們總是會回想起她的魔術。「我很驚訝,當我發現魔術真的有用時,」她說。
Pizzini的方法也許很獨特,但是各個組織都會使用像是線上教學、商業通訊、MP3以及各種獎勵的方法,來讓一般公司成員接受安全資訊,而所有的手段都是為了保護長年來最脆弱的一環:人員。雖然每家公司都花費了數萬元的經費在各項安全技術上,例如防火牆以及存取控制,但是它們的員工卻會經由分享密碼、被社交工程詐欺或者沒有留意公司的安全政策而破壞了這些防禦機制。
在德勤全球(Deloitte Touche Tohmatsu)的2007全球安全調查(Global Security Survey)中,接近80%的財稅服務業受訪者指出,人的因素是資訊安全失效的根本原因。儘管人是最大的威脅,可是這些受訪者中卻有接近1/4的比例在過去幾年內都沒有接受過任何的安全認知訓練。
許多組織將訓練的焦點專注在IT工作人員而不是在非技術人員上,把安全歸類成技術問題,訓練公司Safelight Security Advisors的執行長Rob Cheyne說。但是遵循的需求以及資料侵害的轉變導致越來越多的企業開始擴展它們的焦點。 「我們已經開始看到觀念上的改變」,終端使用者安全認知訓練與認證的非營利機構SCIPP Internation的創立者Winn Schwartau說。
事實上,這些企業都強調管理、風險管理以及遵循與認知訓練比起以前更加重要了,前白宮網路安全顧問暨(ISC)2安全專家Howard Schmidt說。
撇開遵循不談,對於許多的安全從業人員來說訓練非技術員工是資訊安全計畫中非常重要的一環。「當然,訓練並不會解決您所有的安全問題,但是卻能夠提高您員工的認知並增加公司的安全水準」,The Weather Channel的資訊安全長John Penrod說。
魔術及其他的活動
在蒙大拿州藍十字,Pizzini的安全認知工作不只是以魔術呈現的訓練還包含線上訓練、定期的認知聚會、佈告、製作行事曆以及張貼在公司內部網路的安全提示(tip)。她會在每次新進員工報到之後幾周對其進行訓練,也會定期對全公司進行訓練。
使用魔術的這個想法來自於Pizzini的志工工作。她是名受過訓練的小丑;她說每位小丑都有自己的拿手把戲而她的拿手把戲就是魔術。當她為小孩進行表演的時候,她會透過魔術來教導小孩一些知識;她在公司的同意後,在訓練中嘗試使用相同的技術。
Pizzini也會使用引人注意的主題和獎賞來吸引員工參加定期的認知聚會。 去年的主題是「不要逃避您的責任」,還在員工休息室舉辦測驗活動。正確回答出安全問題的解答的員工可以贏得像是橡膠小鴨以及魚型餅乾之類的獎品。
「獎品是什麼其實不重要,同仁只在乎有沒有提供獎勵」,Pizzini說。 「以食物為獎品的這個方式效果還不錯。獎品會讓人員願意參與,那麼您才有機會對他們闡述安全。」
今年的主題是奧林匹克,原本規劃在5月的定期聚會上還會舉辦橡皮筋射擊競賽以及使用像是「贏得安全金牌」之類的標語。在2008的公司行事曆上還會印有以奧林匹克為主題的安全訊息。「我們就是透過這些東西來製造小小的樂趣」 Pizzini說。
為了增強安全訊息,會在每週公司的電子郵件更新中包含各種安全提示並且在企業內部網路的首頁上每日更新安全資訊。「他們接觸到特定資訊的次數越多,他們就越容易記住這個資訊」Pizzini說,她也是藍十字裡遵循與倫理部門的主管。
安全從業人員說,事實上安全認知訓練的主要核心就是不斷的重複。使用者必須多次聽到強健密碼與釣魚詐騙之後才會有印象並記住。
「這並不是一次性的工作,它是持續不斷的」,擁有超過15萬名員工分布於華盛頓特區以及9個州的保健組織Kaiser Permanente的資訊安全認知與訓練的領導者Joan Rose說。
同時,訓練教材必須保持新鮮,不要以同樣的方式多次傳達某一則訊息,Rose 補述。此外,它還要能夠引起共鳴。「這是一項挑戰」,她說。「人們總是忙於他們的工作。您必須找出一個適合他們的方法。」
從家用安全開始
公司引起員工安全的共鳴,其中一種方法是提供家用電腦的安全提示。
Kaiser的訓練計畫包含了一個負責安全認知的公司網站給非技術性員工瀏覽,除了提供像是醫療保險可攜性與責任法案(HIPAA)之類的法律規定與公司安全政策之外,還提供家用電腦的安全建議與如何讓孩童安全上網。
「我的想法是如果你在家能有良好的安全操作習慣,那麼在工作的時候也能保持下去,」Rose說。
這個網站提升了Kaiser的教學資源,提供線上的、可個別指導的以及可混合電話的教學。Rose也會參加Kaiser一般工作相關安全的聚會以及發放可攜式電腦安全以及其他議題的傳單,還有製作公司電子報以及其他出版品上的安全提示。
「基本上人們都會想要做對的事,但是他們必須知道這個對的事是什麼,而且這個事必須是他們能夠理解的,」她說。
在The Weather Channel針對1千名負責提供氣象資訊的員工所進行的季訓練會議上,最熱門的話題就是家用電腦安全。
「當他們越能安全地使用家用電腦,那麼當他們遠端與我們連線時也會較安全,那麼很明顯的,我們公司就會更安全,」Penrod說。
每場會議通常都會專注在一個特定的議題,從如何保護孩童的線上安全和不被各式各樣的惡意程式攻擊到如何避免釣魚式的攻擊。「您不可能要求人員投入過多的訓練,」 Penrod說,請留意安全認知必須配合公司其他類型的訓練。
取得執行管理階層的支持對於安全提升很有幫助,他補充說明。例如,執行管理階層的支持會讓員工不敢反對利用非上班時段進行安全訓練。
彈性和客制化
位在美國羅德島(Providence, R.I.)的醫療業者Care New England Health System採用了多重方式來訓練他們員工關於電腦安全操作實務以及處理敏感資料時的公司政策。它有線上訓練來教育新進員工並定期教育所有員工,每季的課堂訓練,電子報雙月刊,以及用聲音格式來呈現電子報上安全提示的MP3。該組織了解到必須使用彈性的方式來訓練1.5萬名員工。
「我們的員工是出了名的難以受訓,因為他們的工作真的很忙,」在Care New England的資安與災難復原管理者Larry Pesce說。「我們還曾經嘗試透過電子郵件來進行訓練。當時我們還不了解原來有些員工並不使用電子郵件。」
像是護士就是其中一個例子,她們總是忙著照顧病人而不是檢查電子郵件。存放在企業內部網路上的MP3可以讓沒有時間坐在電腦前的員工,在工作時可以同時聽到電子報上的訊息。
Justin Drain在他的認知計畫中也使用了各式各樣的技術。他是Fremont Bank的資料安全管理者,這家銀行是一家位於北加州的社區銀行,大約有600名員工。面對面的訓練方式能夠帶來最好的效果,Drain說,他也會在訓練的同時搭配笑話來闡述安全以讓聽眾了解他的安全觀點。
「您必須確認讓不懂IT的人會記得這些高階程度的觀念,」他說。
這些教材可以針對不同的安全議題進行調整,舉例來說,那些負責面對民眾的員工就會對資料安全有特別的需求,Drain說。但是他認為網頁形式的訓練能夠提供最好的經濟效益,因為網頁形式的訓練充滿彈性而且員工可以利用工作之餘來存取這個網頁。
然而,協助員工了解如何將安全套用於他們身上是很重要的,Drain說。「我們希望他們感受到被賦予工作與權力。他們可以說『這可以讓我的工作進行的更好並且讓我的客戶得到更好支援。』」