要让高管们意识到威胁的程度,网络安全意识必须由上层主导,以确保能传达到每一个员工。
投资周:2016网络安全战略简报活动上,市场研究公司 IHS Markit 首席信息安全官达兰·阿盖尔称:没有董事会的接纳,提升网络意识的努力不会有任何效果。
“你得有来自高层的支持,否则安全工作不会有进展。”
公司中负责安全工作的人员,应该通过让高层知道网络攻击的影响力,来达成获得高层支持的目的。
让高层意识到他们的社交资料可能会被研究被利用来作为对公司进行网络攻击的敲门砖,是促进公司安全工作的一条途径,有助于拨开公司及其高管们所面临威胁的迷雾。
“黑客常会花费数月时间摸清高管们的爱好和生活方式,然后精心炮制出能引诱他们打开附件或点击其中链接的钓鱼电子邮件。
“可以在安全上投资百万,但只要你自身会被一封邮件诱骗,一切安全投资都是白搭。你得打造风险意识文化,如果你能让高管意识到他们面临的风险,你就更有可能让他们参与到网络安全项目中来。”
不过,也有一些积极的灌输网络安全消息的方法,不仅仅是关注在危险上。
“如果你正要提交可持续性报告,而你想要获得高评分,你就需要一个网络安全意识项目。类似地,如果你有网络保险,那么承保人会想知道你的员工是经受过培训的,如果未经培训,那你的保费可能就会上涨许多。”
“客户也是,越来越关注他们的网络安全,会向公司提出很多问题。如果你有一个清晰的,定义良好的安全策略和员工培训项目,处理起客户质询来就容易得多。”
一旦顶层高管接受了网络安全培训的需求,保持他们持续参与就很关键了,最好是让CEO主抓,这也是Markit的做法。他们在发送给全体员工的一段视频中,让CEO亲身解释了为什么网络安全对公司而言如此重要。
“你得让高层人士参与进来以使消息传达得更为强硬。员工更倾向于听从这些高层的话,比如说,CISO。”
意识项目一旦设立并开始运营,招募一位“网络安全大使”来监管进度是个不错的主意。
“其实这就是个打造人类防火墙的事儿,当然,技术防火墙也是需要的。”