建立强大安全文化的四个建议

为了数据安全，安全团队需要建立个人责任意识，而不是恐惧和互相指责。下面讲述了两位安全负责人是怎么做的。

安全团队无法保护他们看不到的东西。当监控工具越来越好时，终端用户和业务经理需要告诉IT和安全团队他们在拿不同应用程序上的数据做些什么，尤其是在出现问题的时候。

当涉及到安全问题时，在恐惧和互相指责的文化下，终端用户不会告诉你他们是否在使用未经批准的应用程序，是否点击了恶意链接，或者是否看到了不寻常的活动，直到为时已晚。安全团队应该帮助用户建立个人责任意识，使他们能够像对待健康和安全等其他公司政策一样对待数据安全。

相互指责的文化加剧了安全问题

将人视为一个薄弱环节，创造一个员工害怕因安全问题而受到惩罚的环境，不是一个经营公司的好方法。然而，一些组织机构采取极端措施来惩罚诈骗受害者。苏格兰一家媒体公司解雇并起诉了该公司的一名员工，原因是她卷入了一场网络钓鱼事件，并向冒充该公司总经理要求其进行付款的骗子支付了近 20 万英镑 (合 25 万美元) 。Brian Krebs 最近发布了员工因未能通过网络钓鱼模拟测试而被解雇的例子。

这种相互指责的文化只会让员工在出现问题时不愿意站出来…… 而这将数据置于风险之中。

毕马威英国 (KPMG UK) 首席信息官Mark Parr表示：

为了帮助建立这种安全与员工之间的信任，毕马威启动了一项计划，表彰那些提出公司内部安全问题的员工。Parr 表示，自己希望发展这种文化，如果出现问题或发生了什么事，人们乐意告诉他们或向服务台报告。毕马威有一个内部系统可以识别员工，其他员工也能看到。如果有人找到自己说，‘我注意到了这个，这有点问题，’那么 Parr 就会通知他们的直属领导让他站出来。

英国电商 The Hut Group (THG) 全球安全业务主管Graeme Park警告说，由于企业和个人系统，应用程序和设备之间的联系——无论是否通过自带设备 (Bring Your Own Device, BYOD)，人们通过工作电脑查看个人邮件或者相反，或是出于商业目的使用个人 SaaS 账户——糟糕的个人安全意识是导致组织机构被攻击的另一个因素。这取决于企业将控制与教育相结合，而不是诉诸于恐吓策略。这是再教育的一部分，让安全平易近人，而不是对员工暴跳如雷。

Park 举了一个例子，他认为网络代理经常被 “大器小用”，一个更好的方法是记录一切包括警告，如果用户访问了违反政策的网站，应该要求他们提供为什么需要访问该页面的理由。

良好的安全文化是什么样的

如果互相指责的文化不好，那么良好的安全文化应该是什么样的呢?毕马威的 Parr 表示：良好的安全文化应该是，人们本能地理解与日常活动相关的风险，知道并有信心能够减轻或处理这种风险。我们必须摒弃 “一切都很好，CISO会为我们处理好一切” 的想法。

以下是 Parr 和 Park 认为首席信息安全官们为建立一个强大的安全文化需要努力的四个关键方面。

1. 让安全易于理解

自从 Parr 成为首席信息安全官一年多前，毕马威英国一直在改变其公司内部安全文化和教育方法的进程中，确保该公司在 27 个不同地方的 16000 名英国员工能够达到一致的安全意识水平。Parr 表示：良好的(文化)是指人们对信息安全感到自信和舒适，而不觉得这是一门科学或一个魔法。

建立安全意识文化的一个关键是使其与受众产生共鸣，因此毕马威的安全教育内容已被尽可能用通俗易懂的语言来表达，并精心设计了适用于员工的场景。Parr表示，他想让人们像对待工作上的信息安全一样对待家庭信息安全，通过设定真实的场景，给人们明确的方向是关键。

让人们了解这些基础知识会让终端用户更容易理解，反过来他们也会更认真地对待企业的信息安全，因为他们想象得出犯错的后果。Parr 表示，责任感是成功的关键。如果人们觉得自己明白为什么要对数据的处理和管理负责，那么事情就成功了一半。

2. 提供持续的意识训练

作为这种文化变革的一部分，毕马威已经从实时演示和评估转向为 Parr 所描述的通过活动、培训、视频和播客的 “一种持续的意识训练”。 看着 PPT 上的幻灯片，尽可能快地浏览一遍，最后回答20个问题并希望你能通过考试，这并不能向我证明什么。这只是显示了你从幻灯片中获取信息的能力。让人们明白有一些规则和指导是可用的，知道他们能做什么，不能做什么，以及他们应该扮演什么角色。

Parr 首先发布了一份非常简单易懂的政策文件。这份文件被浓缩成一页纸的标题，以便在人们有时间阅读的时候抓住他们的注意力。然后发展成一个他们在上班的火车上可能会看的三分钟短视频。这是为了保持活动的节奏，这样人们就会一直被提醒。

虽然评估这种文化带来的影响可能很困难，但 Parr 与公司的学习和发展团队合作，围绕公司有多少名员工在收听播客、观看视频和参与到团队正在制作的其他安全教育中，创建了参与度指标。这些指标可以用来衡量安全教育材料是否能引起员工的共鸣。

为了让更多的人参与到安全教育中，组织机构的领导层会定期发送信息鼓励人们观看、阅读和聆听安全材料。“业务信息安全人员” 作为信息安全主题方面的专家，负责生产活动。他们鼓励员工更直接地参与其中。

3. 在影子IT问题上与员工合作

指责员工使用未经批准的应用程序 (称为影子 IT)，与因安全问题而解雇他们一样，都是不明智的行为。影子IT问题长期以来一直存在。 它背后的驱动因素实际上是IT系统的广泛存在;无论是软件还是硬件，无论是在家里还是在其他任何地方。

Park 认为，人们并不坏，他们没有试图利用影子 IT 来故意规避公司政策或公司安全措施。一般情况下，他们只是想更好，更快，更轻松地完成工作做。这对 IT 和安全工作来说是一种失败;IT 和安全部门可以从拦路虎变成推动者，确保人们拥有完成工作所需的工具。

Park 表示，影子 IT 可以是 SaaS 服务或未经批准的桌面应用程序，到他所说的 “更小但有同样影响力的影子IT们”，比如集成到 Slack 或 JIRA、浏览器扩展，甚至是公司网络上类似亚马逊 ALEXA 的设备。无论影子 IT 以何种形式出现，IT 和安全部门都需要更开放地接受它。因为如果人们担心违反公司政策会受到惩罚，他们永远不会告诉你他们在做什么。

4. 展示什么是好的

改变公司内部的安全文化也意味着安全团队思维方式的改变。正如员工希望 CSO 成为一个优秀的沟通者和领导者一样，安全团队也需要跟进，既要引人注目，又要平易近人。

Park 表示，在过去的十年里，他们并没有做好工作让人们更容易理解安全性。他们很难用通俗易懂的语言来表达，很难在不阐明根本技术问题的情况下解释风险。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!