CISSP și educația, formarea și conștientizarea în domeniul securității informațiilor

Candidatul la examenul de certificare pentru certificatele de securitate informatică (CISSP) trebuie să cunoască instrumentele și obiectivele programelor de sensibilizare în materie de securitate, de formare și de educație.

Nivele adecvate de conștientizare, formare și educație necesare în cadrul organizației

Conștientizarea securității este un factor adesea uitat în cadrul unui program de securitate a informațiilor. Deși securitatea este în centrul atenției practicanților de securitate în funcțiile lor de zi cu zi, adesea se consideră că utilizatorii obișnuiți posedă același nivel de conștientizare a securității. În consecință, utilizatorii pot deveni, fără înțelepciune, cea mai slabă legătură într-un program de securitate a informațiilor. Mai mulți factori cheie sunt critici pentru succesul unui program de sensibilizare a securității:

• Suport pentru managementul de nivel superior: În condiții ideale, senior management este văzut participând și participând activ la eforturile de formare.
• Demonstrarea clară a modului în care securitatea sprijină obiectivele organizației: Angajații trebuie să înțeleagă de ce securitatea este importantă pentru organizație și cum este benefică organizației în ansamblu.
• Demonstrarea clară a modului în care securitatea afectează toate persoanele și funcțiile lor de serviciu: Programul de sensibilizare trebuie să fie relevant pentru toată lumea, astfel încât toată lumea să înțeleagă că "securitatea este responsabilitatea tuturor. "
• Ținând cont de nivelul c al publicului în ceea ce privește pregătirea și înțelegerea principiilor de securitate: Formarea care este prea de bază va fi ignorată; antrenamentul prea tehnic nu va fi înțeles.
• Acțiune și urmărire: O prezentare glitz care este uitată de îndată ce publicul părăsi camera este inutilă. Găsiți modalități de a include informațiile de securitate pe care le prezentați cu activitățile de zi cu zi și planurile de urmărire.

Cele trei componente principale ale unui program eficace de sensibilizare în domeniul securității sunt un program general de sensibilizare, formare formală și educație.

Conștientizarea

Programul general de sensibilizare furnizează informații de securitate de bază și asigură că toată lumea înțelege importanța securității. Programele de conștientizare pot include următoarele elemente:

• Indoctrinare și orientare: Angajații și contractorii noi ar trebui să primească o îndoctrinare și o orientare de bază. În timpul îndoctrinării, pot primi o copie a politicii de securitate a informațiilor corporative, trebuie să recunoască și să semneze declarațiile de utilizare acceptabilă și acordurile de nedivulgare și să se întâlnească cu supraveghetorii impecabili și cu membrii pertinenți ai personalului de securitate și IT.
• Prezentări: Prelegerile, prezentările video și instruirea interactivă pe calculator (CBT) sunt instrumente excelente pentru diseminarea formării și informării privind securitatea. Bonusurile angajaților și evaluările performanței sunt uneori legate de participarea la aceste tipuri de programe de sensibilizare în materie de securitate.
• Materiale tipărite: Postere de securitate, buletine de știri corporative și buletine periodice sunt utile pentru diseminarea informațiilor de bază, cum ar fi sfaturile de securitate și promovarea gradului de conștientizare a securității.

Instruire

Programele formale de formare furnizează informații mai detaliate decât un program de conștientizare și se pot concentra pe competențe sau sarcini specifice legate de securitate. Astfel de programe de formare pot include

• Formare în clasă: Instruire condusă de un instructor sau altă formare facilitată formal, eventual la sediul corporativ sau într-o unitate de formare a unei companii
• Instruire în ritm propriu: pot continua în propriul ritm
• Formare la locul de muncă: Poate include o instruire individuală cu un coleg sau un supraveghetor imediat
• Instruire tehnică sau de vânzător: Instruire pe un anumit produs sau tehnologie furnizată de un terț
• Programe de ucenicie sau de calificare: Statutul oficial de formare sau standardele de calificare care trebuie îndeplinite în mod satisfăcător într-o perioadă de timp specificată

Educație

Un program de formare cel mai profund nivel al formării în domeniul securității, concentrându-se pe principiile, metodologiile și conceptele care stau la baza acestora. Un program de educație poate include

Cerințe de educație continuă:

• Unitățile de învățământ continuu (CEU) devin populare pentru menținerea unor certificări tehnice sau profesionale la nivel înalt, cum ar fi CISSP sau Cisco Certified Internetworking Expert (CCIE). Programe de certificat:
• Multe colegii și universități oferă programe de educație pentru adulți care au cursuri despre subiectele actuale și relevante pentru profesioniștii care lucrează. Educație oficială sau cerințe de diplomă:
• Multe companii oferă asistență de școlarizare sau burse pentru angajații înscriși în clase care sunt relevante pentru profesia lor. Revizuiri periodice pentru relevanța conținutului

Felicitări! Ați ales o profesie care se schimbă în mod constant și rapid! Ca atare, programele de educație, instruire și conștientizare în domeniul securității trebuie în permanență să fie revizuite și actualizate pentru a se asigura că acestea rămân relevante și pentru a vă asigura că cunoștințele despre conceptele, tendințele și tehnologiile actuale de securitate rămân actuale. Sugerăm ca conținutul programelor de educație și formare în domeniul securității să fie examinat cel puțin o dată pe an, pentru a se asigura că nu există nicio referire la tehnologiile sau sistemele învechite sau pensionate și că sunt incluse și subiectele actuale.