IT安全规则,要的是落实而不是死守

风险与合规是IT安全人常常挂在嘴边的热词,可是真正建立起了有效的安全策略的组织,访来问去,数来数去,不过三成而已。

技术高超的安全渗透攻击人员,只要进入到一家组织机构内部,便可以在几分钟内,轻松入侵一家组织的网络基础架构,而要有效防范这类入侵,却比徒步登天还难。保护网络信息安全是一个体系化的工作,这简单就是宇宙真理啊!如果我们有足够的物理安全防范措施,完全可以将安全渗透测试人员拒之门外,这样,入侵的难度也会成倍的增长。

说到底,保障IT安全,不能仅仅只依赖IT的手段,IT安全防护措施总是落后于入侵手段,这是一个不争的事实。但是在一个管理体系下,所有的玩法都要守规则,黑客江湖也是如此,更何况在这个文明的世代,在党所一统的江山之下呢!

说很多安全防范技术根本搞不定安全入侵者,也有些过,至少可能会很多安全技术高手不服。其实,即使您是黑客高手,您若不遵守业界普遍认可的规则,下场那是绝对逃不出技能远不如您的安全力量的惩戒,就如同孙悟空逃不出如来佛手掌一样。对一名IT安全技术热来讲,如何了解IT安全“行规”呢?其实,如同防范安全入侵一样的道理,补充好自己的短板–强化安全管理理论知识技能的学习。

您亦可能是组织机构内的IT安全管理从业人员,您讨厌那些人治的拍脑袋的安全做法,想通过一套IT安全规则来建立理想的信息(系统)使用秩序。这是多么明智的想法和做法!可是,发布一套IT安全规则容易,要让这套IT安全规则生效则很难。不是一般的难,而是阻力重重,办不了事儿常见,得罪人事小,影响士气事大。

不要怀疑自己!我们辛勤发布的IT安全规则不被遵守,并不是我们存有私心,想借此来搞办公室政治。相反,是因为我们的出发点太过于高尚和伟大,我们以为这是正确的方向和做法,大家应该会自觉的遵守。其实,我们把事情想像的太过简单和完美,在受众的眼中,IT安全规则,要么我不知道是什么;要么即使我知道了,也只是一纸文书,和我没有什么关系;哦,和我可能多少有点关系,那就是IT安全规则是整人的,没事儿找事儿!

现在您可能已经知晓了问题的核心所在,您并没有被这些话激怒,您可能开始彻悟。昆明亭长朗然科技有限公司信息安全顾问董志军表示:IT安全规则要深入人心,要获得有效的执行力,首先不能太过死板。有些IT安全专员可能会说:IT政策应该获得强制执行。我要说:“强制”一词虽然很好地强调了“效力”,但是有些高压强迫之意,有些不近人情的味道,在强调“创新为要”和“人文关怀”的年代,并不能很好地表达出“有效”。

所以,制定和发布IT安全规则,要懂得搞民主,懂得搞浪漫,营造全员参与的气氛,这时候,IT安全专业高手应该让位给沟通协调高手。有的人说:我们就搞白色恐怖,重惩戒,几次下来,安全好多了。这里面有一个假定的前提,就是默认员工们是不自觉的。如果员工们不自觉,那更多应该是组织文化管理的问题,而非仅仅是信息安全所面对的。我们不否认在白色恐怖下,人们对待安全的态度和做法会变得很谨慎。但是在白色恐怖气氛笼罩下,人员的士气和社会的生产力降低了多少!那是安全损失的多少倍!

该如何让IT安全规则获得很好的执行?首先,IT安全规则需要被受众所理解,在规则的发布过程中,重要的是沟通,培训、宣讲、演示都是不错的沟通方法,而检查沟通效果的方法是访谈和考核。其次,是检查IT安全规则的实施效果,每项IT安全流程都有其输入和输出,也有其控制点。对这些地方进行检查,是了解IT安全规则执行力的不二方法。在这里,我们不能太过于死板,特别是当IT安全规则检查成了一项常规工作之后,我们可能会有完善的检查清单,但是却缺乏一颗熟知IT安全规则背景精神的善心。就如同很多街头执法人员死搬工作条文,而不具备人道主义和人文精神一样,粗暴执法的结果常常是激化出一起又一起社会矛盾和悲剧事件。

如何让IT安全规则检查人员拥有一颗熟知IT安全规则背景精神的善心呢?需要的仍然是IT安全规则的沟通,我们要让IT安全规则的目的和精神要义得到展示,它们本身就应该是来协助我们做好工作的,而非冷冰冰的来限制我们的条文。

说到这里,很多IT安全人没有太多的经验。在IT安全规则的沟通,特别是IT安全规则的背后精神要义的讲解方面,昆明亭长朗然科技有限公司有一整套的动画素材和互动式教程。欢迎各位IT安全人来与我们探讨、合作。当然,这些安全精神要义,也可以用在IT安全范围之外。

不要死板的守着那些冰冷无情的条文,开启您的IT安全善心,感化受众,才是获得IT安全落实的最高境界!点击如下的图示,在线体验一下我们的信息安全意识沟通课件吧!其实,您可能更对IT管理感兴趣,在我们的IT安全管理教程中,就包含了大量的IT安全规则要义呢!

Internet security online business concept pointing security services

Similar Posts: