Войти в систему
Войти с помощью соц. сетей:
Более подробную информацию об Адаме Шостаке смотрите по ссылкам:
• Threat Modeling: Designing for Security: https://www.amazon.com/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998;
• The New School of Information Security (в соавторстве с Эндрю Стюартом): https://www.amazon.com/New-School-Information-Security/dp/0321814908;
• веб-сайт Адама Шостака: https://adam.shostack.org/;
• Адам Шостак в Twitter: http://twitter.com/adamshostack;
• профиль Адама Шостака на LinkedIn: http://www.linkedin.com/in/shostack/.
Один совет, который дал почти каждый человек, о котором мы говорили, – это необходимость более качественного образования в области ИБ. Нет никакой уверенности в том, что некое совершенное технологическое решение, которое исключит необходимость рассказывать людям об угрозах ИБ и о том, как с ними обращаться, вскоре будет найдено. Некоторые «эксперты» по ИБ утверждают, что это пустая трата времени – пытаться обучить конечных пользователей, но большинство серьезных специалистов по безопасности знают, что образование для конечных пользователей и сотрудников принесет только пользу.
Мой нынешний работодатель, Microsoft, заставляет всех сотрудников проходить ежегодное обучение информационной безопасности по нескольким темам. Например, в течение года мы получали много электронной почты фишинга, и в конце нам показали обучающее видео с участием уважаемого сотрудника, обманутого таким способом. Он работал в области, которая требует обширных знаний в сфере ИБ. Короче говоря, ему стоило быть более внимательным к социальной инженерии с помощью фишинговой электронной почты, но случилось то, что случилось. Он поделился своим опытом, в том числе тем, как попался на хорошо продуманную, целенаправленную попытку фишинга. Было интересно видеть, что один из наших технологических лидеров тоже совершает ошибки и рассказывает, как это произошло. Затем он рассказал, что, хотя и был смущен этой ситуацией, не стыдился сообщить об инциденте ради безопасности других. Это было чрезвычайно хорошо продуманное образовательное видео, которое привело к значительно меньшему количеству успешных фишинговых атак. Обучение оказалось настолько успешным, что к командам Microsoft IT security весь год приходили люди, чтобы узнать, не являются ли подозрительно выглядящие, но законные письма фишинговыми. Некоторые даже говорили, что этот случай был слишком показательным.
Другие образовательные видео в предыдущие годы охватывали тему получения паролей путем обмана. Образование может помочь значительно снизить угрозы информационной безопасности.
Обучение в сфере ИБ поставляется во многих вариантах и подходах. В следующих разделах рассматриваются некоторые темы, которыми могут воспользоваться люди, заинтересованные в обучении в сфере ИБ.
Этот тип обучения обычно готовит конечных пользователей к более безопасному использованию своих компьютеров и устройств. Специалист делится общими формами взлома, которым устройства могут подвергаться, и рассказывает, как обнаруживать и предотвращать атаки, а также сообщать о них. Каждый пользователь должен пройти такой курс, будь то дома, в школе или в офисе. Тренинг должен проводиться не реже одного раза в год и охватывать недавние и наиболее вероятные угрозы. Такого рода обучение обычно требует от 15 минут до нескольких часов в год.
Полезно для специалистов в сфере ИБ и ИТ. Курс должен содержать общий обзор всех типов взлома и вредоносных программ и более подробно описывать самые распространенные и вероятные угрозы. Как правило, этот тип обучения проходит в течение многих дней или недель и может повторяться через какое-то время.
Специалисты в сфере ИБ и, в частности, члены групп реагирования на инциденты должны быть обучены тому, как правильно реагировать на инциденты и управлять ими. Это должно быть обязательным обучением для всех сотрудников, которые разделяют эти обязанности. Такого рода тренировки обычно длятся несколько дней и должны повторяться по мере необходимости.
Многие популярные вендоры ОС и приложений предлагают общее и специфичное для продукта обучение безопасности. Обучение по конкретным продуктам может дополнить ваши общие знания в области безопасности, а если в конце выдается сертификат, он может подтвердить знания о конкретном продукте.
Необходимо научить (и аттестовать) людей обеспечивать техническую безопасность. Это включает в себя обучение навыкам работы с определенными типами продуктов безопасности, такими как брандмауэры, обнаружение вторжений, анализ вредоносных программ, криптография, применение патчей, резервное копирование и т. д.
Существуют десятки сертификатов, связанных с информационной безопасностью. Каждая сертификация способствует общему образованию. Нет правильных или неправильных сертификатов. Тем не менее есть более уважаемые, чем другие. В целом любые сертификаты от следующих организаций широко популярны (в произвольном порядке):
• Международный совет по электронному коммерческому консультированию (EC–Council) (https://www.eccouncil.org/);
• Институт системных администраторов систем безопасности (SANS) (http://www.sans.org);
• Ассоциация вычислительных технологий промышленности (CompTIA) (https://certification.comptia.org/);
• Ассоциация информационных систем аудита и контроля (ISACA) (https://www.isaca.org).
Уважаемые сертификаты также предлагают компании Microsoft, Cisco и RedHat. Это не исчерпывающий список, и существует много других вендоров, которые предлагают отличные экзамены и курсы.
Дополнительные сведения смотрите в моей недавней колонке в InfoWorld по сертификации ИБ: http://www.infoworld.com/article/3115344/security/essential-certifications-for-smart-security-pros.html.
Войти с помощью соц. сетей: