网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


各公司陆续制定安全意识培训计划

2011-03-18 19:35 推荐: 浏览: 36 views 字号:

摘要:   越来越多的公司开始对用户进行安全意识培训,从而提高软件质量,降低终端雇员的错误率。   加速这种趋势的原因是,许多企业都要求雇佣的软件公司能够遵守更严格的安全标准。此外,越来越多的企业意识到,雇员的错误可能导致高额的罚款,甚至导致数据安全漏洞。   波士顿...

  越来越多的公司开始对用户进行安全意识培训,从而提高软件质量,降低终端雇员的错误率。

  加速这种趋势的原因是,许多企业都要求雇佣的软件公司能够遵守更严格的安全标准。此外,越来越多的企业意识到,雇员的错误可能导致高额的罚款,甚至导致数据安全漏洞。

  波士顿一家卫生保健公司发现自身有多处违反HIPAA标准的地方。几天后,公司的高管决定投资为雇员进行加强安全意识的培训。与此同时,一家明尼苏达州销售生产率软件(productivity software)的公司为其众多的软件开发人员进行了安全培训。这两家公司都是受外部因素的影响开始进行培训项目:审计失败,且用户的需求在增长。

  据专家和分析师分析,安全意识培训将会越来越普遍。Safelight安全顾问公司的创始人兼CEO Rob Cheyne说,失败的审计、数据漏洞以及其他对知识产权和敏感数据产生危险的因素令企业不得不加强员工的安全意识。

  “你不可能依靠技术解决所有的安全问题,”Cheyne说,“主动进行安全教育,可以使员工意识到他们在保护公司安全的过程中扮演着极其重要的角色。”

  Safelight公司在上月举行的2011 RSA会议上推出了他们的安全教育蓝图(Security Education Blueprint),帮助企业在内部评估不同小组的风险状况,满足对雇员进行必要的安全教育的需要,Cheyne解释道。

  尽管Cheyne提供的培训计划能服务于最终用户和IT企业,但他说他最大的乐趣还是在于教授软件开发者安全编程的基本知识。“你将会有多次恍然大悟的感觉——‘啊,原来是这样’,”Cheyne说。他表示,很多时候,一个公司的最大弱点不是最终用户,而是经理和业务主管,他们是最需要接受安全培训的人。

  “企业需要的安全培训方式是,培训(方式)能令员工和业务过程与其他员工或业务产生互动,”Cheyne说道,“企业里面的每一个人都有相应的职责。”

  Michael Kaiser是非营利性组织国家网络安全联盟(National Cyber Security Alliance)的执行主席,该组织每年都会举办网络安全意识宣传月活动。他说,人们的安全意识在不断提高;技术在保护珍贵资产方面的作用是有限的。该组织发起了主题为“停下,思考,连接”的活动,主要面向消费者,但是国土安全部也利用这一活动宣传联邦级别的安全。

  “我们确实正在合作,以期我们的主题思想能够被广泛接受,”Kaiser表示,“这需要时间,但有希望的是,随着时间的推移,企业、非盈利组织、政府机构及其他组织都会使用这个思想。它将成为公众意识的一部分。”

  安全软件发展的进步为安全业带来了希望,Gary McGraw这样说道。他是来自华盛顿特区的软件安全咨询公司Cigital的首席技术官。McGraw说,大型企业更愿意公开分享他们的安全软件开发进展,这样小型公司能够利用这些资源。他负责了Building Security In Maturity Model(建立安全成熟度模型)项目的研究工作,该研究由进40家大型企业倡议进行。

  McGrwa和Sammy Migues,是Cigital培训和教育部门的主管,Brian Chess则来自加利福尼亚州圣马特奥市的软件安全保险供应商Fortify软件公司。他们进行了大量的采访,找出了长期有效的安全工作流程。

  “我们访谈的所有公司都在软件安全过程的客观测量方面进步明显,”McGraw说,“你可能会乐于见到企业行动起来并承担责任。我认为以后我们会看到更多(进步)。”

  本文转载自企业级IT信息服务平台-网界网-CNW.com.cn

联系站长租广告位!

中国首席信息安全官