企业没有IT部门的安全文化就无从谈起。IT部门应该拥有广泛而明显的安全文化,作为企业所有其他部门的榜样。大多数公司都同意,企业IT或其他部门的内部安全专家可以保护其他99%或更多的员工免受恶意攻击者发现业务敏感或业务关键信息的侵害。不幸的是,许多IT部门都有同样的错觉。超过95%的IT员工认为他们的安全团队(可能占IT员工的5%或更少)将使他们远离麻烦。事实证明,其中许多想法都是错误的,安全威胁仍然存在。在这个安全意识增强的时代,几乎每个企业都有适当的安全计划。安全计划包括由企业首席信息安全官或高级安全领导制定的政策、实施政策的操作控制、实施控制的工作规则和程序、支持规则和程序的工具,以及安全运营团队规则和程序,以监控使用工具的程序并审查控制的一致性和有效性。这听起来很复杂,但成功的安全计划的关键部分为大多数IT部门所熟知,并且已经在大多数企业中得到一定程度的实施。安全计划和安全文化是两个不同的东西。在安全文化中,员工对公司面临的网络安全威胁有着深刻的理解。他们了解在其行业或市场中经营的恶意行为者的动机和意图。企业网络安全问题和担忧经常在业务会议上讨论,例如季度业务回顾、业务战略会议、预算规划会议、并购审查等。他们不仅限于专门讨论安全问题的定期会议,因为企业领导者和员工都明白安全是日常业务运营的固有部分。在具有真正安全文化的组织中工作的员工在实施安全保护方面发挥积极作用。有些人可能会争辩说,不可能在一家在多个地理位置运营的大型多元化公司中创建真正的安全文化,但有大量证据表明这是可能的。大多数金融服务公司都高度重视风险管理,并已形成有效的安全文化。依靠使用内部开发的知识产权的公司,例如制药商,对网络安全同样持谨慎态度。许多大型跨国公司都存在广泛而明显的安全文化。IT应树立榜样如果IT中不存在安全文化,就不可能在组织内创建这种文化。IT负责保护可能被恶意行为者操纵的路径和流程,以避免在网络安全防御中发挥核心作用。如果IT不认真对待其网络安全责任,那么真的有希望在整个企业中建立这种文化吗?虽然IT无法自行创建企业范围的安全文化,但它应该提供其他功能可以效仿的类型。一种文化的例子。然而,这很少发生。许多IT部门将安全责任委派给一小群安全专业人员,而其他员工在很大程度上忽略了这些安全责任。安全团队之外的许多IT团队经常抵制、忽视或争论将更严格的保护纳入其现有技术堆栈或操作程序的指令。此外,当被要求协助解决与安全相关的审计问题或响应特定的安全事件时,个别工作人员表达沮丧或漠不关心的情况并不少见。安全培训通常被视为浪费时间和分散个人其他更紧迫任务的注意力。建立安全文化IT领导者如何在自己的组织内建立安全文化?这里有六个触发器,如果??始终如一地执行,将产生预期的结果。一、教育。让员工了解威胁企业的恶意行为者的常见身份。讨论在其他公司发生的类似产品、服务、运营模式或市场违规行为的例子。确保他们了解恶意行为者过去使用的主要途径,例如渗透网络或泄露敏感信息。2.管理。建立网络漏洞的优先列表,通常称为风险登记册。让尽可能多的IT团队成员加入列表并确定已知漏洞的优先级。为风险登记册中最多产或最有洞察力的贡献者提供奖励和认可,作为鼓励其他人做出贡献的一种方式。3.谈论。任何每天自发地表现出对安全相关话题的兴趣或关注的领导者很快就会发现他们的同事和下属也在做同样的事情。工人有意识地或无意识地从他们的领导那里得到暗示。4.测量。安全指标设计起来很棘手。IT人员可以专注于企业范围安全保护措施的实施或有效性。出于可以理解的原因,许多公司不愿广泛宣传其保障措施的有效性,如果不能与员工或管理团队成员分享,他们的指标就不太可能影响员工行为。5.个性化。抓住每一个可能的机会,将员工作为Internet消费者遇到的安全问题与他们在工作中遇到的安全问题进行类比。IT部门帮助团队成员了解泄露的凭据、勒索软件、cookie和其他网络威胁如何影响他们的个人生活,并变得对他们在工作场所如何使用Internet更加敏感。6.惩罚。在一个完美的世界中,团队成员只需要接受有关网络威胁和保护的教育,他们的行为就会相应改变。然而,在现实的运营世界中,当政策、控制和运营程序有意或无意地受到损害时,相关人员需要受到惩罚。当业务结果受到损害时,员工通常会受到个人处罚。他们需要了解安全控制措施是出于商业原因而制定的,不遵守此类控制措施将产生后果。显然需要根据破坏行为的严重程度对处罚进行分级,但没有此类处罚会破坏企业试图建立的文化。引领安全文化如果没有一支信息安全专业人员团队,无论他们技术如何或资金充足,都很难保护企业免受各种黑客和网络攻击者的侵害。现实情况是,在任何情况下都无法实现绝对安全,但如果企业能够营造一种安全文化,让每位员工都了解他们面临的风险并完全遵守保障措施,那么成功的可能性就会增加。大大增加。虽然很少有人会反对这种说法,但大多数人都不知道从哪里开始。安全团队必须拥有安全文化,因为那是他们的工作。安全团队之外的IT专业人员需要全心全意地拥抱这种文化,并成为安全文化的传播者。当安全文化拥护者能够将旁观者转变为参与者时,就会成功。如果IT领导者能够避免过度设计策略、控制和程序,并自行开发上述触发实践,他们就可以在IT中创建成功的安全文化,为其他业务部门提供指导。许多IT领导者表示他们无法在公司内担任更广泛的领导角色,而建立安全文化是他们的机会!
