借力“软件正版化”强化软件资产及信息安全管理工作

国务院下令推动政府及国有部门软件正版化,省部级政府机关已经搞的差不多了,截至2013年3月底,59%的地市级政府和32%的县级政府完成检查整改。截至2013年9月底,全国87%的市级政府和67%的县级政府机关也完成了检查整改任务。在政府机关完成了自身的“革命”之后,下一波的整改任务预计会逐渐在国有企业及国有控股的大型企业时开展,民营私营企业以及家庭个人等等仍然是一个行政管理难以有效触及的边缘地带。

不能否认的是我们已经取得了辉煌的成绩,但是已经搞了十余年的工作,为什么总是不停地大张旗鼓地搞呢?人们可能责怪“正版化”不彻底、“资金紧张”难缓解、“长效机制”不足、“盗版反扑”严重……

的确,“软件正版化”工作重点在操作系统和办公软件,这的确是盗版的主要部分,但是其它非主流的应用软件如图形图像处理、压缩工具等等不在“软件正版化”工作范围内,这些残留部分软件的盗版使用行为会影响到操作系统和办公软件。

我们不能简单断定“资金”问题是“软件正版化”的障碍,不少便宜甚至免费的开源软件为什么不被政府机关和国有(控股)公司欢迎?问题在没有资金投入的工程就没有中间利益可以攫取。当然,这不仅仅是“软件正版化”工作的特色问题,我们不做多的探讨。

专家们常常会为盗版难以根除找类似“长效机制”不足之类的说辞,昆明亭长朗然科技有限公司James Dong说:在类似“运动战”的活动背景下,运动之后一定程度的反弹肯定难以避免的,这就是为什么我国大张旗鼓的“软件正版化”运动战无法比拟发达国家建立常规软件使用管理流程的原因。

大的IT环境在变化,云计算使得终端变瘦,操作系统可免费,办公软件SaaS化,人们工作在浏览器上,这对“软件正版化”工作极为有利,信息安全及软件资源管理部门和人员可抓住大好机会,通过改革和创新来提升工作绩效,获得职场晋升等各类收益。

不过IT安全人员仍然不能忽略的是“软件正版化”工作严重依赖计算机终端用户,他们不配合软件安全和使用条例,或对信息安全政策及要求阳奉阴违,都会让“软件正版化”工作功亏一匮。如何获得各类软件最终用户的理解和支持呢?加强“软件正版化”意识宣传培训和沟通教育是关键,亭长朗然公司制作了一集公开的“软件正版化”培训课件,并配以“知识产权保护”宣导内容,加以一部现实、风趣且能引人深思的卡通动画片,可以配合各单位各部门负责“软件正版化”推广工作的人员强化对全体职工进行相关意识宣导。

如何让员工在面临选择时三思安全而后行

think-security-ahead
人类的群居本性以及工业化信息化带来的社会分工协作促使我们建立起一个个用户社群、组织机构和兴趣团体,同样人们也学会了帮助和利用他人。在以公司形式存在的组织机构内外,更是如此,想要混得如鱼得水,不仅仅需要埋头努力工作,也需要处理好复杂的人际关系。结识更多的朋友,让自己变得更受人们的欢迎,也是多数职场人士特别是公司职员们的天性。

以诈骗为业的入侵者也深谙此道,他们利用人们的天性弱点,铺设种种陷阱,且步步紧逼,他们伺机刺探情报,且望风而动,在达到目的之后,立即擦除痕迹,并飘然离去。昆明亭长朗然科技有限公司防诈骗教育委员会James Dong说:尽管骗术五花八门,但是关注经典和流行的招数,及时定期地搜集这些骗术并展示给员工们,可以帮助员工们在面临同样的骗局时做出正确的应对行动。不过,当遇到能灵活应用心理骗术的顶级骗子之时,典型的案例显然不够激起善良的员工们对安全问题的顾虑。

如何让员工们在面临各类事先未经历、学习或定义过的情景之中想到安全呢?亭长朗然公司James说:我们曾经结交过一些非常值得的好朋友,也会有一些不良的家伙们滥用我们的友情付出,有了一些阅人经历之后,我们学习着在做结交之前先判断人品和信誉。这个道理同样也适合企业安全意识培训,我们要教会员工在面临选择之前进行安全相关的思考,以及如何进行正确的安全判断。

想要让员工们主动在实际工作中思考信息安全问题,仅仅依赖简单的说教式填鸭式培训难取得好的效果,我们需要给他们足够的模拟场景,但并不急于给出标准的正确答案,而是激发员工们的积极思考、内心搏斗甚至伦理辨识。足够的安全挑战式模拟场景能够在员工们的头脑中建立起关联式的链接,并逐渐在日常工作中形成条件反射,最终使安全意识进入员工们潜在的思维基因和企业安全文化之中。

举例来讲,信息安全管理人员以及保密工作人员都希望员工们在向他人提供公司信息数据之前三思而后行,至少考虑三个问题:一、这些信息是否涉密?二、我是否有权提供这些信息?三、对方是否有权获得这些信息?但是诈骗份子可能伪装成公司高管向员工索取敏感信息,员工可能激动的让取悦领导的潜意识占了上风,甚至完全忘掉基本的安全意识,更别提去校验对方的真实身份了。

如果员工们经历过一次电话诈骗相关的挑战式模拟场景,即使此后碰到的不是同样的问题,但有些类似,相信这些印象已经变成经验,选择之时的“三思而后行”再也不是问题了。

昆明亭长朗然科技有限公司致力于企业信息安全意识培训和教育领域的不断创新,目前已经开发出近百集各类安全挑战式场景,可以帮助各公司提升员工们的信息安全感知意识和安全敏感度,让“三思安全而后行”成为员工们的行为习惯和企业安全文化的一部分。