最近從新聞網站上看到一篇文章(安全專家:使用者資安教育是毫無意義的—英文版或中文版)覺得蠻有趣的,剎那間,心中燃起一股衝動想要向大家說明這個議題。到底安全專家的觀點對不對呢(他不相信使用者教育將可解決安全問題,因為安全一直都不是使用者的第一目標)?
我個人覺得他的觀點不是完全正確的。如果資訊安全教育的方向是正確的,我們必須檢討我們所犯的錯誤,將它導回正軌,而不是一味地否定它。我們必須要有一個體認,教育不是一蹴可及的,是需要長期循序漸進的。
我個人對資訊安全教育的觀感:第一,資訊安全教育想要傳達的訊息是要教導使用者體認資訊安全的重要性,讓使用者有基本的資訊安全的觀念,進而降低個人或企業資產損失的風險,而不是要完全地解決安全問題,以增加使用者的負擔。舉個例子,前一陣子台灣很流行詐騙,也有很多人在不知不覺的情形中成為受害者,但經過媒體大量報導及相關單位的宣傳,相關案例已經降低很多;第二,資訊安全教育是要常態化的。很多企業花了幾天的時間教導員工資訊安全的重要,但常常是成效不彰,因為他們往往只是為了達成上級交辦的任務,為做而做,而不是真的很重視資訊安全教育。想想在台灣有哪些企業肯花大錢定期舉辦資訊安全講習呢?屈指可數,對不對?第三,資訊安全最好從小紮根。以前我們說馬路如虎口,要大家千萬要小心,現在則是網路如虎口,處處充滿危機,不提高警覺不行。面對數位化時代的來臨,很多事情無法以傳統的角度來思考,如果我們不把握時間,從小教導起,未來我們將面臨更大的挑戰。第四,高階主管不是很重視。企業的資訊安全教育如果沒有高階主管的參與及背書,基本上都是玩假的,因為每個人都是各自為政,不遵守資訊安全政策,等事情發生了,在相互推諉責任。第五,政府相關主管單位的漠視。資訊安全無法單靠個人或企業的推動即可達成,政府相關主管單位必須推動相關法案的立法,不要每次都要等到事情發生了,再做事後檢討及立法。另外,政府相關主管單位必須提撥經費,積極地推廣資訊安全教育。
使用者不重視資訊安全是很普遍的,一方面,覺得關他們什麼事,另一方面,覺得造成他們的不便。資訊安全、便利性與功能性的三角關係是互斥的,想要便利又要安全及功能性幾乎是不可能的,但科技始終來自人性(人的惰性),終究有一天科技會克服這個障礙。資訊安全是需要各位的關心及分享,而不是單打獨鬥。
留言列表
