各公司陸續制定安全意識培訓計劃
加速這種趨勢的原因是,許多企業都要求雇傭的軟件公司能夠遵守更嚴格的安全標準。此外,越來越多的企業意識到,雇員的錯誤可能導致高額的罰款,甚至導致數據安全漏洞。
波士頓一家衛生保健公司發現自身有多處違反HIPAA標準的地方。幾天后,公司的高管決定投資為雇員進行加強安全意識的培訓。與此同時,一家明尼蘇達州銷售生產率軟件(productivity software)的公司為其眾多的軟件開發人員進行了安全培訓。這兩家公司都是受外部因素的影響開始進行培訓項目:審計失敗,且用戶的需求在增長。
據專家和分析師分析,安全意識培訓將會越來越普遍。Safelight安全顧問公司的創始人兼CEO Rob Cheyne說,失敗的審計、數據漏洞以及其他對知識產權和敏感數據產生危險的因素令企業不得不加強員工的安全意識。
“你不可能依靠技術解決所有的安全問題,”Cheyne說,“主動進行安全教育,可以使員工意識到他們在保護公司安全的過程中扮演著極其重要的角色。”
Safelight公司在上月舉行的2011 RSA會議上推出了他們的安全教育藍圖(Security Education Blueprint),幫助企業在內部評估不同小組的風險狀況,滿足對雇員進行必要的安全教育的需要,Cheyne解釋道。
盡管Cheyne提供的培訓計劃能服務于最終用戶和IT企業,但他說他***的樂趣還是在于教授軟件開發者安全編程的基本知識。“你將會有多次恍然大悟的感覺——‘啊,原來是這樣’,”Cheyne說。他表示,很多時候,一個公司的***弱點不是最終用戶,而是經理和業務主管,他們是最需要接受安全培訓的人。
“企業需要的安全培訓方式是,培訓(方式)能令員工和業務過程與其他員工或業務產生互動,”Cheyne說道,“企業里面的每一個人都有相應的職責。”
Michael Kaiser是非營利性組織國家網絡安全聯盟(National Cyber Security Alliance)的執行主席,該組織每年都會舉辦網絡安全意識宣傳月活動。他說,人們的安全意識在不斷提高;技術在保護珍貴資產方面的作用是有限的。該組織發起了主題為“停下,思考,連接”的活動,主要面向消費者,但是國土安全部也利用這一活動宣傳聯邦級別的安全。
“我們確實正在合作,以期我們的主題思想能夠被廣泛接受,”Kaiser表示,“這需要時間,但有希望的是,隨著時間的推移,企業、非盈利組織、政府機構及其他組織都會使用這個思想。它將成為公眾意識的一部分。”
安全軟件發展的進步為安全業帶來了希望,Gary McGraw這樣說道。他是來自華盛頓特區的軟件安全咨詢公司Cigital的***技術官。McGraw說,大型企業更愿意公開分享他們的安全軟件開發進展,這樣小型公司能夠利用這些資源。他負責了Building Security In Maturity Model(建立安全成熟度模型)項目的研究工作,該研究由進40家大型企業倡議進行。
McGrwa和Sammy Migues,是Cigital培訓和教育部門的主管,Brian Chess則來自加利福尼亞州圣馬特奧市的軟件安全保險供應商Fortify軟件公司。他們進行了大量的采訪,找出了長期有效的安全工作流程。
“我們訪談的所有公司都在軟件安全過程的客觀測量方面進步明顯,”McGraw說,“你可能會樂于見到企業行動起來并承擔責任。我認為以后我們會看到更多(進步)。”
【編輯推薦】
