https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

不只系統要上patch 資安觀念也應定期更新

2013 / 07 / 09
魯智深
不只系統要上patch  資安觀念也應定期更新

又到了定期進行一般人員資安教育訓練的時間,雖然是例行性工作,每年該花的時間卻一點也不少,正好前幾個月找了個新人進來,這份教育訓練的教材就決定交給他,看看會不會激盪出一些不一樣的火花。

不知道是不是溝通上有問題,拿到第一版講義時我差點沒有昏倒,兩個小時的講義,居然一大半以上都在講密碼學,而且是在講怎麼用公式,剩下就開始介紹駭客攻擊的方式,這種好像從學校論文中摘要出來的內容,不要說一般使用者,甚至連技術人員可能都有些難度,於是趕緊把這位同仁找進辦公室。

「我看了這份講義,你當初怎麼會編出這樣的內容呢?」

「資安不就是這些嗎?!我們老師以前也都說密碼學很重要,把密碼學學好,大概一半資安問題就可以解決,所以要從一般人員就培養這樣的觀念。另外如果不了解駭客攻擊方式,連怎麼防守都不知道,所以我就把這些都放進這次的教材中。」

「但你覺得一般人員聽得懂這些嗎?他們沒有相關的技術或經驗,更何況上課學員裡還有中高階主管,你叫他們聽這些內容,他們知道要怎麼做嗎?我建議你調整一下內容,多講一些基本概念,還有就是他們有哪些平日要注意的事項,或是公司要同仁注意的規範,你再重新整理一次。」

費盡了一番唇舌,好不容易讓那位新進同仁把講義拿回去重新製作,隔沒幾天,E-mail就收到新教材的電子檔,這一次雖然不再是技術導向,但很明顯的就只是大拼盤,把網路上可以找的一些投影片重新組合一下,不要說內容的豐富性,有些東西前面和後面講的還不一樣,有些和主題無關的東西也放進來,甚至引用的案例、研究報告,都還是三、四年前的資料,雖說這是年度例行性工作,但也不需要如此敷衍吧!

換個角度想想,是不是我們沒有真正了解使用者心態,才會全部從技術角度出發!從事資安工作這麼多年,我知道如果只從單一角度切入,並不能有效解決問題,往往需要花更多的時間及精力。當整個潮流都在談BYOD (bring your own device)時,我們是不是還抱著舊有資安程序在沾沾自喜,時代不斷的在改變,面對新的挑戰,只有不斷充實才能引發新的思維,如果還是沿襲舊方法,最後一定還是同樣的結果。

我已經暗自決定,既然這份講義是那位新進同仁所製作,到時候課程就直接交給他去負責,希望能讓他從同仁反應中獲得一些經驗,只是還要想些替代方案,不然之後其他主管一定會有一堆批評,我也逃離不了責任。