对于数据安全,安全团队需要培养个人责任感,而不是恐惧和指责。以下是两位安全主管的做法。安全团队无法保护他们看不到的东西。随着监控工具变得更好,最终用户和业务经理需要告诉IT和安全团队他们对来自不同应用程序的数据做了什么,尤其是当出现问题时。在安全方面,在恐惧和相互指责的文化中,最终用户不会告诉您他们是否正在使用未经批准的应用程序、单击恶意链接或看到异常活动,直到您该告诉您为止。太晚了。安全团队应该帮助用户培养个人责任感,以便他们可以像对待任何其他公司政策一样对待数据安全,例如健康和安全。相互指责的文化加剧了安全问题。将人视为薄弱环节并营造员工害怕因安全问题受到惩罚的环境并不是经营公司的好方法。然而,一些组织采取极端措施来惩罚诈骗的受害者。一家苏格兰媒体公司在参与网络钓鱼活动后解雇并起诉了一名员工,在该活动中,她向冒充公司董事总经理的诈骗者支付了近200,000英镑(250,000英镑),要求她付款。美元)。BrianKrebs最近发布了一个员工因未通过网络钓鱼模拟测试而被解雇的示例。这种相互指责的文化只会让员工在出现问题时不愿直言不讳……这会使数据面临风险。毕马威英国首席信息官MarkParr表示:处理信息的人不能成为薄弱环节。我希望人们感到放松,如果他们犯了错误,他们可以告诉我。这一切都是为了建立信任,让我的同事觉得我真的在他们身边,而不是在出现问题时责怪他们的人。为了帮助在安全与员工之间建立这种信任,毕马威(KPMG)推出了一项计划,以表彰在公司内部提出安全问题的员工。帕尔说,他想培养一种文化,如果出现问题或发生什么事,人们很乐意告诉他们或向服务台报告。毕马威有一个内部系统,可以识别员工并对其他员工可见。如果有人走近他们说,‘我注意到了这一点,那有问题’,帕尔就会打电话给他们的直属领导,请他站出来。英国电子商务零售商TheHutGroup(THG)的全球安全负责人GraemePark警告说,由于企业和个人系统、应用程序和设备之间的联系——无论是否通过自带设备(BYOD),人们都会检查来自工作计算机的个人电子邮件,反之亦然,或出于商业目的使用个人SaaS帐户-个人安全意识差是可能导致组织受到攻击的另一个因素。企业有责任将控制与教育结合起来,而不是诉诸恐吓策略。这是再教育的一部分,让安全变得平易近人,而不是对员工发火。Park举了一个例子,他认为网络代理通常用于“大事”,更好的方法是记录所有内容,包括警告,如果用户访问违反政策的网站,他们应该被要求提供理由为什么他们需要访问该页面。在向他们传授安全知识的同时,您也在掌控一切,让他们思考并证明这一点。如果人们这样做了,他们就会有意识地思考自己所做的事情是否正确,是否安全,是否符合政策。他们也知道他们在那个阶段正在接受审查,所以这实际上让他们想得更多。这给了他们更多的权力。良好的安全文化是什么样的?如果指责文化不好,那么好的安全文化是什么样的?KPMG的Parr说:良好的安全文化应该是人们本能地理解与日常活动相关的风险,了解并确信可以减轻或处理这种风险。我们必须放弃“一切都很好,CISO会为我们处理”的想法。以下是Parr和Park认为CISO需要努力建立强大安全文化的四个关键领域。1.让安全变得易于理解自Parr一年多前成为CISO以来,毕马威英国一直在改变其内部安全文化和教育方法,以确保该公司27个地点的16,000名英国员工能够获得一致的安全水平意识。帕尔说:好的(文化)是人们对信息安全感到自信和自在,而不是觉得它是一门科学或魔法。建立安全意识文化的关键是让其产生共鸣,因此毕马威的安全教育内容尽可能通俗易懂,并精心设计场景以适用于员工。帕尔说,他希望人们像对待工作中的安全一样对待家庭安全,通过设置现实的场景,给人们明确的方向是关键。无论你是引导客户进入会议室的前台员工,还是提供审计服务的人员,或者你是技术团队中帮助客户解决技术问题的人员,语言都是一样的,他们都听得懂信息安全同样如此。让人们了解这些基础知识可以让最终用户更容易理解,他们反过来会更认真地对待他们组织的信息安全,因为他们可以想象犯错误的后果。根据Parr的说法,问责制是成功的关键。如果人们觉得他们理解为什么他们要对数据的处理和管理方式负责,那么就成功了一半。2.提供持续的意识培训作为这种文化变革的一部分,毕马威通过活动、培训、视频和播客,从实时演示和评估转变为帕尔所说的“一种持续的意识培训”。查看PowerPoint上的幻灯片,尽可能快地浏览它们,最后回答20个问题并希望你通过考试并不能向我证明任何事情。这只是为了展示您从幻灯片中获取信息的能力。让人们清楚地知道有可用的规则和指南,他们可以做什么和不能做什么,以及他们应该扮演什么角色。Parr首先发布了一份非常简单易懂的政策文件。该文件被浓缩成一个单独的页面,标题是为了在人们有时间阅读时引起他们的注意。然后发展成三分钟的短视频他们可能会在上班的火车上看。这是为了跟上事件的节奏,以便不断提醒人们。虽然评估这种文化的影响可能很困难,但Parr与公司的学习和发展团队合作创建了一个指数,以了解有多少公司员工正在收听播客、观看视频以及参与该团队正在制作的其他安全教育。参与度指标。这些指标可用于衡量安全教育材料是否引起了员工的共鸣。我还需要不断思考与员工互动的新方式。不仅让他们了解安全现实,而且让他们更多地参与到我想要实现的目标中。为了让更多人参与到安全教育中来,组织领导定期发文鼓励大家看、读、听安全资料。“业务信息安全人员”作为信息安全专题专家负责生产活动。他们鼓励员工更直接地参与进来。3.与员工一起解决影子IT问题指责员工使用未经批准的应用程序(称为影子IT)与出于安全考虑解雇他们一样不明智。影子IT问题已经存在很长时间了。其背后的驱动因素实际上是IT系统的普遍存在;无论是软件还是硬件,无论是在家里还是在其他任何地方。根据Park的说法,人并不坏,他们并没有试图使用影子IT来故意规避公司政策或公司安全措施。通常,他们只想更好、更快、更轻松地完成工作。这是IT和安全方面的失败;IT和安全性可以从阻碍变成推动因素,确保人们拥有完成工作所需的工具。Park表示,影子IT的范围从SaaS服务或未经批准的桌面应用程序,到他所谓的“更小但同样有影响力的影子IT”,例如集成到Slack或JIRA、浏览器扩展,甚至网络上的企业亚马逊ALEXA类设备。无论影子IT采取何种形式,IT和安全部门都需要对其更加开放。因为如果人们担心因违反公司政策而受到处罚,他们永远不会告诉您他们在做什么。我们需要在这个问题上更加聪明。不管怎样,它总是会发生。如果与使用这些外部工具相关的风险是有限的——比如,有人想使用一种设计工具来制作品牌和图形,但不是特别机密——那么在这种情况下,风险是最小的。你需要给人们一定程度的灵活性。4.展示什么是好的改变公司内部的安全文化也意味着改变安全团队的思维方式。正如员工期望CSO成为良好的沟通者和领导者一样,安全团队也需要效仿,既要引人注目又要平易近人。Park表示,在过去十年中,他们在让安全更容易理解方面做得不好。它们很难用通俗易懂的语言表达,如果不弄清楚底层技术问题就很难解释风险。相反,他说安全问题需要以更类似于健康和安全警告的方式进行沟通。很容易向某人解释为什么他们不应该在没有PPE的情况下爬梯子,因为后果是显而易见的。向某人解释为什么他们应该使用SharePoint而不是Dropbox并不容易,因为在他们看来,SharePoint的影响与在没有保护的情况下爬梯子的影响不同。我们需要真正的投资和教育,确保人们了解他们在做什么,了解如果他们丢失一些文件或知识产权会发生什么,但也要赋予他们权力。具体问题具体分析会带来很大的价值。帕尔一直在与安全团队合作,改变他们的心态,使他们成为他试图在公司中建立的文化的代表和拥护者。他们展示什么是好的,他们不断地向我们的同事展示什么是好的。长期以来,信息安全被视为一盆冷水浇在人们的奇思妙想上。但不是那样的。我绝对是来帮助企业了解我们如何运作和进步,但要安全可靠地进行。【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
