文│广东华兴银行信息科技部 李燕
金融科技时代,随着人工智能、大数据、云计算、区块链等新兴技术的蓬勃发展及其在风险控制、精准营销、运营管理等领域的广泛应用,运用个人信息实现“比你更懂你自己”的场景已经屡见不鲜。但正如习近平总书记所说,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,我们必须清醒地认识到,随着金融科技的发展,金融企业和客户面临的网络安全问题日益突出,网络安全建设必须跟信息化建设同步规划、部署和实施。
为做好网络安全,金融企业往往借助于安全技术产品和服务来进行防护,但是“技防”永远无法完全取代“人防”的作用,内外部人员安全意识薄弱而导致的信息安全事件很难完全避免,所以需要形成体系化的安全意识提升机制,使安全意识建设成为一种企业文化,才能达到综合化、一体化、纵深化防御的效果。
一、安全意识概念辨析
安全意识,从本质上说,是对于风险感知并主动回避的能力。要理解安全意识,需要从以下三方面着手:
首先,要认识到安全意识不是一种虚幻的概念或感觉,而是一种能力,就像各种岗位必备的其他知识或者技能一样。这种能力应该被准确定义,所有岗位应该被精准赋能。具体而言,对内要放入岗位的基本能力要求,对外(合作伙伴、外部客户)要持续地培训和教育,而且均能通过一定手段计量、监测和考核。
其次,要认识到这是相关人员必须具备的能力,要实现横向到边、纵向到底、内外兼修的覆盖,即横向要跨业务条线,纵向要跨岗位、跨机构,整体覆盖上到董事会和高管层、下至基层员工的各级人员;外部要延伸到相关的合作伙伴和客户。各岗位、各层级、内外部干系人都必须具备安全意识,形成一张覆盖企业全范围及外部干系人的“安全意识网”。否则,任何一个点的缺口一旦被攻破,整个企业的安全防护措施可能就会被击穿得千疮百孔。
第三,安全意识提升的目的,既需要防止主动违反安全规定,又需要防止被动违规。所谓主动违规,就是罔顾安全要求,主动从事风险事件,甚至主动规避风险防范措施;所谓被动,就是意识不到自己行动可能导致的风险,所谓“无知者无畏”。安全意识提升,就是要让主动违规的人员,能有震慑感、能认识到违规导致的风险,不敢不愿“铤而走险”;对于被动违规的人员,要培养敏感性,提升风险规避和应对能力。
二、金融企业安全意识提升的必要性
金融企业信息安全培训的必要性体现在四个方面:
1.金融企业涉及信息的敏感性极高。金融企业面向广大客户提供金融服务,涉及的信息主要包括与客户相关的信息(包括客户基本信息、客户账户信息以及客户交易信息等),以及金融企业经营管理活动相关的内部信息(包括战略规划信息、金融产品信息、经营活动信息等)。大多数信息安全事件的发生都源自于员工主动或被动地泄露敏感信息。
2.金融企业信息安全的核心问题是人的安全意识。任何的安全管理体系、安全技术、安全产品或服务,都无法保护每一个人远离每一种可能存在的安全风险。因为无论多么严密的管理体系、多么先进的设备、多么严谨的系统、多么完备的数据,如果员工的安全意识不足,将导致管理流于形式、设备形同虚设、数据空中楼阁。
3. 金融企业安全意识仍然普遍较为薄弱。大部分金融企业已经投入大量的资金购买安全技术,但是在人员安全意识提升上却投入甚少,往往忽略了人的安全意识薄弱是信息安全管理的最短板。
4. 金融企业安全事件层出不穷。客户信息泄露、网站被攻击或篡改、应用漏洞导致资金损失、钓鱼攻击导致勒索事件⋯⋯,金融企业的信息安全事件,每出现一次都会造成很大的损失,引起广泛的关注。而根据信息安全研究机构的统计,在所有企业的信息安全事件中,70%-80%是由于内部员工的疏忽或有意泄露造成的。
三、金融企业安全意识提升面临的问题
增强员工安全意识,主要通过培训和教育来实现,但培训和教育存在五大问题:
1.未建立系统化的安全意识提升管理体系。安全意识培训是零散的、随需而做的,尚未形成整体的、有机的、立体的安全意识提升规划。
2.安全意识培训针对性不足,培训内容不接地气。由于需求分析不到位,经常是一套培训材料就“放之四海而皆准”,结果自然收效甚微。
3.安全意识培训形式单一、内容枯燥、素材匮乏、资源不足。采用课堂教学方式培训,缺乏日常碎片式、体验式的素材,枯燥的培训方式自然效果不佳。
4.安全意识培训参与度不高。大部分金融企业的员工都非常忙碌,培训过程成了应付式的参与,往往“身在曹营心在汉”,导致培训效果大打折扣。
5.未建立安全意识提升的考核机制。未建立起有效的量化考核机制,缺乏技术手段、检查手段、考核机制来实现。
四、安全意识提升方法论
要实现安全意识有效提升,需要遵循四个步骤:
(一)找准对象
金融企业不同的工作岗位,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。
1.金融企业高管。金融企业高管应该首当其冲地成为信息安全培训受众,主要原因一是接触的信息面广、层次高、敏感信息多,是“性价比最高”的重点攻击对象;二是可以对全员安全意识提升起到表率作用。高管的安全培训重点应该放在信息安全战略和安全意识宣导方面,了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等。
2.中层管理者。金融企业的中层管理人员,是“承上启下”地执行战略和政策的中坚力量,需要贯彻执行企业的信息安全战略,同时带动基层员工主动落实信息安全防护措施。中层管理人员的信息安全培训,应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等。
3.所有部门基层员工。基层员工由于数量众多、接触的具体信息丰富,是最容易泄密的群体。基层员工的安全培训应侧重于银行信息安全相关的制度和流程的具体内容、信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等。
4.信息科技员工。信息科技部门员工是信息安全政策落地的核心力量,更是信息安全管理和技术措施的直接执行者和捍卫者。信息科技部门各个不同团队的信息安全培训,有不同的侧重点:
(1)对于开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等;
(2)对于运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等;
(3)对于信息安全岗员工,是信息安全培训体系的制定者和维护者,一方面应该掌握设计信息安全培训体系的方法,另一方面应接受有关监管趋势及要求、风险评估和安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。
5.外包人员。外包人员可能接触到金融企业的客户信息、系统开发和设计文档、源代码等大量的敏感信息,安全意识培训应侧重于外包制度和流程的具体内容、金融企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等。
6.外部客户。大量的风险案例是由于客户对于个人客户信息保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。外部客户的安全培训应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等。
(二)用对方法
1.现场培训。现场培训是最常见的一种集中开展的培训形式,好处是大家精力比较集中,交流较为充分,在主题的选择上可以更为聚焦,讲解上可以更为深入。专题培训和交流会议,是两种常见的现场培训方式。
2.Elearning在线培训。由于3A的特性(Anytime,Anywhere,Anyway,任何时间、任何地点、多种方式),Elearning在线培训最适合针对全员的培训,特别适合普及性的、内容相对简短的培训,推荐的方式是选择一些重要的知识点,用案例的方式生动活泼地表现出来,其中穿插讲解风险要点、规避措施和管理要求。
3.开办内外部信息安全专栏。一方面在内部门户系统或办公自动化系统中开设信息安全专栏,随时发布信息安全相关的内容,包括主要的信息安全法律法规要点、国家和监管层面关于网络安全防范的重要战略和指示精神、信息安全事件及防范措施等;另一方面开设外部专栏,例如在微信公众号上发布安全意识相关的文章、图片、视频,向客户宣贯信息安全相关热点新闻、案例和风险防范技巧。
4.以赛代训。通过竞赛的方式,提高培训对象的参与度,调动培训对象的热情。竞赛方式包括合规知识竞赛(针对信息安全知识和技能要求设计形式活泼的考题)、信息安全创意作品大赛(征集征文、摄影、视频、诗歌、宣传画报、漫画等各种各样的创意作品)、微信游戏比赛(在微信中设置一些信息安全小游戏,例如答题闯关、有奖查漏、捉对厮杀、双人PK等)、CTF攻防大赛(在比赛规则中设计漏洞查找、问题解答、安全加固、相互攻击等模式,通过实战提升安全专业技能)等。
5.信息安全实战演练。采用“真演实练”的方式,模拟真实的攻击场景,检验员工的安全意识和面对攻击的应对水平。常见演练场景包括钓鱼邮件和病毒木马、社会工程学方式、撞库测试、弱口令测试等,测试结束后必须开展专题的案例分析和总结,详解攻击原理和过程,向员工宣导正确的防范措施。
6.信息安全活动宣传周/宣传月等。借助国家网络安全宣传周、科技宣传周等契机,在金融企业内部成立自己的信息安全活动宣传周/宣传月,通过视频、走马灯、画报、宣传手册、有奖知识问答、微信或微博展示等形式,向全行及外部客户推广、宣传信息安全理念。
7.无处不在的安全宣传。安全意识宣传“抬头不见低头见”,例如在电梯口的视频电视中持续播放安全意识宣传动画,在食堂墙报上张贴安全意识的口诀或者漫画,在过道拉起安全意识的宣传“易拉宝”,在办公环境中的会议室、文印室、办公座位等场所张贴“信息安全温馨提示”,在办公电脑的桌面屏保推送“信息安全宣传口号”或者“信息安全宣传墙纸”,人手一册发放有安全知识的笔记本等。
8.定期发送风险提示。针对防钓鱼、弱口令、外发邮件安全、客户信息保护等常见的信息安全风险,制作风险提示或者电子期刊,结合实际案例讲解安全风险的常见表现、解决措施等,主动推送给企业内部员工和外部客户。
9.信息安全智能机器人系统。参照智能客服的模式,以人工智能技术构建自动客服系统,建立信息安全智能知识库,涵盖信息安全基础知识、信息安全制度、信息安全案例、信息安全风险防范技巧等丰富的内容。
10.外部提供的信息安全培训组合服务。针对信息安全专业团队资源不足的情况,购置第三方信息安全培训组合服务。培训组合服务可以通过信息安全动画、宣传片、视频课程、宣传画、知识手册、屏保、电子期刊、现场培训等多种形式提供。
(三)抓住时机
1.全员每年例行做。例如,每年固定一个时间开展信息安全现场培训或者交流,或者每年固定一个时间组织全员参与Elearning在线培训等。
2.员工入职马上做。新员工在入职后一个月内需要开展信息安全培训,最好采用现场培训的方式开展,帮助新员工了解企业的信息安全文化和信息安全管理原则,初步掌握信息安全相关的基本知识与技能,养成良好的安全习惯。新员工的安全意识培训考核结果,可以与员工的转正相结合。
3.高危人士时常做。针对接触企业大量数据的信息科技人员、接触大量客户敏感信息的营销人员、掌握战略或人力资源管理等内部信息的关键岗位员工等“高危人士”,需要加大信息安全培训的频率,至少每半年接受一次培训,部分内容可以一直重复、常讲常新。
4.专业人士专场做。针对信息科技开发、运维、安全等直接从事信息安全风险防范工作的人士,定期组织专场的培训,深入学习最新的信息安全技术和理论知识,形成体系化的知识结构。
5.特殊事件重点做。在出现安全事件等特殊情况后,立即开展案例分析,分析事件发生的原因、影响、后续措施等,着重于分析采取何种措施可以避免今后发生类似问题。
6.客户嵌入流程做。将针对客户的培训嵌入到业务流程中,在客户办理业务的时候配套提供,例如自助设备、手机银行、网银操作中嵌入关于防止密码泄露、防止电信诈骗的风险提示,发现可疑操作后的电话或短信提示,以及客户登录密码错误后的提醒等。
(四)效果衡量
1.衡量培训组织情况。包括培训计划执行率、培训覆盖率(细分为全员培训覆盖率、新员工培训覆盖率、外包人员培训覆盖率等指标)。
2.衡量直接的培训效果。一般先组织笔试,然后将笔试结果作为衡量因素,可以设置的指标包括培训平均分、培训合格率等。
3.衡量培训执行效果。通过日常信息安全检查工作的结果来衡量,包括“信息安全日常行为抽检合格率” 、“制度执行抽检违规率”、“信息安全泄密事件”、“重大信息安全责任事件”等。
(本文刊登于《中国信息安全》杂志2019年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。