CISSP et éducation, formation et sensibilisation à la sécurité de l'information - mannequins

Le candidat à l'examen d'accréditation CISSP devrait connaître les outils et les objectifs des programmes de sensibilisation, de formation et d'éducation en matière de sécurité.

Niveau de sensibilisation, de formation et d'éducation requis au sein de l'organisation

La sensibilisation à la sécurité est un facteur souvent négligé dans un programme de sécurité de l'information. Bien que la sécurité soit au centre des préoccupations des professionnels de la sécurité dans leurs fonctions quotidiennes, il est souvent tenu pour acquis que les utilisateurs ordinaires possèdent ce même niveau de sensibilisation à la sécurité. En conséquence, les utilisateurs peuvent involontairement devenir le lien le plus faible dans un programme de sécurité de l'information. Plusieurs facteurs clés sont essentiels au succès d'un programme de sensibilisation à la sécurité:

• Soutien à la direction de niveau supérieur: Dans des circonstances idéales, la haute direction est vue assister et participer activement aux efforts de formation.
• Démonstration claire de la manière dont la sécurité prend en charge les objectifs métier de l'organisation: Les employés doivent comprendre pourquoi la sécurité est importante pour l'organisation et comment elle profite à l'organisation dans son ensemble.
• Démonstration claire de la façon dont la sécurité affecte tous les individus et leurs fonctions: Le programme de sensibilisation doit être pertinent pour tout le monde, afin que tout le monde comprenne que «la sécurité est la responsabilité de tous. "
• Tenant compte du niveau d'entraînement c de l'auditoire et de la compréhension des principes de sécurité: Une formation trop élémentaire sera ignorée; une formation trop technique ne sera pas comprise.
• Action et suivi: Une présentation fastueuse oubliée dès que le public quitte la salle est inutile. Trouvez des moyens d'intégrer les informations de sécurité que vous présentez aux activités quotidiennes et aux plans de suivi.

Les trois principales composantes d'un programme efficace de sensibilisation à la sécurité sont un programme général de sensibilisation, une formation officielle et une éducation.

Awareness

Un programme général de sensibilisation à la sécurité fournit des informations de sécurité de base et garantit que tout le monde comprend l'importance de la sécurité. Les programmes de sensibilisation peuvent comprendre les éléments suivants:

• familiarisation et orientation: les nouveaux employés et les sous-traitants devraient recevoir un enseignement et une orientation de base. Pendant l'endoctrinement, ils peuvent recevoir une copie de la politique de sécurité de l'information, être obligés de reconnaître et signer les déclarations d'utilisation acceptable et les accords de non-divulgation, et rencontrer les superviseurs immédiats et les membres pertinents du personnel de sécurité et informatique.
• Présentations: Les conférences, les présentations vidéo et les formations interactives par ordinateur (TCC) sont d'excellents outils pour diffuser la formation et l'information sur la sécurité. Les primes versées aux employés et les évaluations du rendement sont parfois liées à la participation à ces types de programmes de sensibilisation à la sécurité.
• Imprimés: Des affiches de sécurité, des bulletins d'information et des bulletins périodiques sont utiles pour diffuser des informations de base telles que des conseils de sécurité et pour promouvoir la sensibilisation à la sécurité.

Formation

Les programmes de formation formelle fournissent des informations plus approfondies qu'un programme de sensibilisation et peuvent se concentrer sur des compétences ou des tâches spécifiques liées à la sécurité. Ces programmes de formation peuvent inclure

• Formation en classe: Formation animée par un instructeur ou autre formellement, éventuellement au siège social ou dans un centre de formation d'entreprise
• Formation à rythme libre: Habituellement formation en ligne peut suivre son propre rythme
• Formation en cours d'emploi: Peut inclure un mentorat individuel avec un pair ou un superviseur immédiat
• Formation technique ou commerciale: Formation sur un produit spécifique ou technologie fournie par une tierce partie
• Programmes d'apprentissage ou de qualification: Statut probatoire formel ou normes de qualification qui doivent être satisfaites dans un délai déterminé

Éducation

Un programme éducatif le plus haut niveau de formation en sécurité, en se concentrant sur les principes, les méthodologies et les concepts sous-jacents.

Un programme d'éducation peut inclure

• Exigences de formation continue: Les unités de formation continue (CEU) deviennent populaires pour maintenir des certifications techniques ou professionnelles de haut niveau telles que CISSP ou Cisco Certified Internetworking Expert (CCIE).
• Programmes de certificat: De nombreux collèges et universités offrent des programmes d'éducation des adultes qui offrent des cours sur des sujets d'actualité et pertinents aux professionnels qui travaillent.
• Niveau de scolarité obligatoire ou diplôme requis: De nombreuses entreprises offrent une aide pour les frais de scolarité ou des bourses d'études pour les employés inscrits à des cours liés à leur profession.

Revues périodiques pour la pertinence du contenu

Félicitations! Vous avez choisi une profession qui change constamment et rapidement! À ce titre, les programmes d'éducation, de formation et de sensibilisation à la sécurité doivent constamment être revus et mis à jour pour s'assurer qu'ils demeurent pertinents et pour s'assurer que vos propres connaissances des concepts, tendances et technologies de sécurité actuels sont à jour. Nous suggérons que le contenu des programmes d'éducation et de formation à la sécurité soit examiné au moins une fois par an, pour s'assurer qu'il n'y a aucune mention de technologies ou de systèmes obsolètes ou retirés, et que les sujets actuels sont inclus.