觀點

資安新兵訓練營

2005 / 09 / 12
David Bianco
資安新兵訓練營

選擇適合你的訓練方式
所有安全意識課程的核心,都是要教育使用者資訊的價值與存取控制,並訓練他們遇到哪些不尋常的事件時該做回報。使用者不必是專家——如果訓練的範圍不脫離他們的日常工作,他們會更容易吸收進去。
許多公司一開始常採用低成本且未經包裝的課程,或將安全意識課程委外,以便善用教育機構的經驗,很少公司會以自己的痛苦經歷來教育使用者。委外的課程、推廣的教材與教學工具固然提供了實用且成熟的安全意識課程,但卻缺乏經年累月的研究、設計與微調。
雖然各家廠商所提供的課程各有所長,但對於這些委外課程,你只需在意幾項功能(請參考:「功能要求」)。安全教材的授課方式也非常重要:雖然大多數廠商皆有提供線上資源,但有些也提供了實體教室的訓練課程。
另外,也要看看這些教育單位提供了怎麼樣的學習追縱工具。每月的學員報表當然是不可或缺的,但有些公司也提供了額外的報表工具。別忘了問問看你是否可以建立自己想要的報表。
SANS Institute是最為人所熟知的「現成」安全意識訓練,它不但提供了線上學習,還提供了面對面的教學、學習追縱,以及傑出的輔助教材。Symantec Education Services也提供了單元式的安全意識課程,但它基本的組合只包含了書面教材的CD,你必須自己找講師。
如果這些現成的方案都不符合你的需求,那麼就開發自己的安全意識課程吧,上至CEO,下到郵件收發員,你都可以為各類使用者設計出最適合他們的課程。例如,雖然所有使用者必須學習如何選擇好的密碼,但程式開發人員還需了解如何撰寫安全的程式,而業務則必須知道如何保護筆記型電腦及PDA上的資料。自行開發的訓練課程更容易與公司的安全原則及程序整合。不過這也是最花錢的方法,從人事、時間,以及預算的觀點來看,適合這種方案的要不是最小的組織,要不就是最大型的組織。
對於中型的組織而言,則可採用混合的方式,也就是將外部的安全意識套裝課程根據自己的特殊需求進行修改。多數廠商都有提供客製化的服務,其中包括了Security Awareness Company,他們肯依據你的需求去修改制式化的課程,讓你的安全意識課程更有人氣。另外,ReeseBrook也提供了HIPAA、GLB、SOX,以及「愛國者法案」(Patriot Act)等規定的課程模組。


現在就行動!
廣告界有個說法,就是潛在客戶必須看過你的訊息三次,才有辦法讓他們注意你的產品,但若要讓他們行動,則需要更多的努力。安全意識教育也一樣。因此請務必慎選你要傳達的訊息,並反覆推敲。
試試這些有效的方法吧:
?建立品牌—別忘了現代行銷手法的強大效果。你可以為你的安全意識教材建立一個商標。將訊息的目標設定為最需要安全意識課程的使用者群。記得要做的有創意、有趣,而且要簡單明暸。
?讓訊息傳出去—「好康道相報」。你可以利用傳單或是螢幕保護程式,將容易記憶的訊息或標語傳達出去。
?反覆進行—環境中的威脅變化快速,因此訓練課程也必須與日精進。請時常檢閱你的訓練課程,並要求所有的使用者每年至少得整頓一次他們的電腦存取權限。
?發佈快訊—請善用公司內部刊物或內部的郵件系統。寫的內容要儘量減短,技術字眼也要越少越好;大概只需一到兩段的文字,就可以達到快速通知使用者的目的了。
?建置安全部落格—部落格(blog)是新流行的全民日誌:你可以將每天或每一週的安全災害,寫成幾段的資訊,並加上你的評論與事後的結果。
千萬要記得避免資訊過量的情形發生。儘量從大量的準則中精挑細選,原則與程序之類的東西固然該寫,但請試著把焦點放在其背後的概念上。例如,不要只是對員工說要好好保管客戶資料庫的密碼,而是要教導他們要是資料庫中的姓名、地址,甚至是信用卡資訊被盜取的話,對員工自己乃至於公司,會發生怎麼樣的後果。你的使用者若是更清楚這些情況,就會做出更好的抉擇,進而讓往後的課程更好推展。
試著將你的核心訊息抽象化到較高的境界,然後再依重要性進行排列。一開始可以強力主打其中的二到三項內容。例如,你可以先讓員工知道公司(而非他們自己)擁有他們工作所需的資料與運算資源,以及要如何做到好的密碼管理。當這些觀念深植在他們心中後,再回過頭來介紹清單的下一個項目,例如如何分辨社會工程詐騙(social engineering scam)以及網路釣魚(phishing)的手法等。

現役安全尖兵
現在你已經將使用者送到資安新兵訓練營了,但你要怎麼評斷訓練的效果呢?不管你是使用套裝的課程還是自己設計的課程,在你開始前,都得先準備好用來評估效果的度量工具。
評量的方法可包含使用者的用心程度:有多少使用者存取過安全意識課程網站?或是點選過每月快訊的E-Mail連結?當然,更直接的評量還包括了有多少使用者參加安全意識課程,以及他們在隨堂測試的平均分數又是多少。
不過最真實的衡量方式,還是在於訓練課程如何影響安全性。像技術支援中心每個月的來電數就是很好的指標。你可以預期這個數字會減少,但是電話數目變多未嘗不是好現象:這意謂著你的使用者更關心安全性問題了。而支援中心的電話成本增加也是個早期的預警,因為誰都不希望最後會影響到公司的營運。
善用你的工具——如果你有不錯的軟體盤點工具的話,可以利用這些工具追縱有哪些電腦安裝了非法的軟體。利用安全意識課程強化這項威脅的知識,如此這些違反規定的電腦數目應該會大量地減少。
當選定評量方式後,請儘速實施,即使你的安全意識課程還沒開始都沒有關係。要評斷的課程是否有效,就得先知道課程實施前的狀況為何。只要建立出你想評量的基準,便可以利用實際的數字來看出課程是否有效。

開戰時刻
安全意識課程是一項長期的安全策略:不經一番等待,你便無法完全得知他們的效果。而若要讓你的課程能夠成功,最有效的方法,就是從內部的企業文化開始做起。
在選擇訓練的傳達方式時,記得要能夠順應員工日常的作業習慣,否則他們很容易排斥你的課程規劃。當然,也要避免一次教太多的東西。
透過仔細的課程規劃,以及選擇能夠與現存程序完美整合的評量方式,相信貴公司(以及使用者)已經準備好面對接下來的挑戰了。
特約編輯David Bianco是技術安全顧問與訓練公司Vorant Network Security的總裁。若對本文有任何意見,請寄到iseditor@asmag.com。