如果IT部门中不存在安全文化,那么在企业中建立安全文化是不可能的。IT部门应该具有广泛而显著的安全文化,可以作为企业所有其他部门的示例。
大多数公司都认为,企业IT部门或其他部门的内部安全专家可以保护其他99%以上的员工,使其不被怀有恶意的攻击者发现对业务敏感或对业务至关重要的信息。不幸的是,许多IT部门都存在同样的错觉。95%以上的IT员工认为,其安全团队(可能只占IT员工总数的5%或更少)将使他们摆脱困境。事实证明,这些想法很多都是错误的,而安全威胁仍然存在。
在当前普遍存在安全意识的这个时代,几乎每个企业都建立了安全计划。安全计划包括由企业的首席信息安全官或高级安全领导者制定的政策、实施政策的运营控制、实施控制的工作规则和程序、支持规则和程序的工具,以及使用工具监控的安全运营团队规则和程序,并审查控制的一致性和有效性。这听起来很复杂,但大多数IT部门都很好地理解了成功的安全计划的关键部分,并且在大多数企业中都已经在某种程度上实现了。
安全计划和安全文化是两回事。在安全文化中,员工对其公司面临的网络安全威胁有充分的了解。他们了解在其行业或市场中运作的恶意行为者的动机和意图。企业的网络安全问题和关注点在业务会议中经常讨论,例如季度业务审查、业务战略会议、预算规划会议、并购评估等。它们不仅限于专门针对安全性的定期会议,因为企业领导者和工作人员了解安全性是日常业务运营的固有部分。在真正具有安全文化的企业中工作的员工在实施安全保护措施方面发挥积极作用。
有些人可能会争辩说,在多个地理位置运营的多元化大型公司中建立真正的安全文化是不可能的,但有大量证据证明是可能的。大多数金融服务公司都高度重视风险管理,并发展了有效的安全文化。依赖于使用内部开发的知识产权的公司,如制药厂商,他们对网络安全同样谨慎。在许多大型跨国公司中存在着广泛而引人注目的安全文化。
IT部门应该树立榜样
如果IT部门尚未存在这样的文化,那么在企业内部建立安全文化是不可能的。IT部门负责可能被恶意行为者操纵的路径和流程的安全,以避免在网络安全防御中发挥核心作用。如果IT部门没有认真对待其网络安全职责,那么在整个企业中建立这样一种文化真的有什么希望?
虽然IT部门无法独立建立企业范围的安全文化,但它应该提供其他职能部门可以模仿的这种文化的示例。不过这种情况很少发生。有很多的IT部门将安全职责委托给一小组安全专业人员,而其他工作人员在很大程度上忽略了这些安全职责。安全团队以外的许多IT团队经常拒绝、忽视或辩论将更严格的保护措施纳入其现有技术堆栈或操作程序的指令。此外,当被要求协助解决与安全有关的审计问题或对特定安全事件的回应时,个别工作人员表达沮丧或漠不关心的情况并不少见。安全培训通常被认为是浪费时间以及占用个人其他更紧迫工作的行为。
建立安全文化
IT领导者如何在自己的组织内建立安全文化?以下有六个触发因素,如果它们持续执行,将产生预期的结果。
1.教育。教育工作人员识别威胁企业的恶意行为人的一般身份。讨论在其他公司发生的类似产品、服务、运营模式或市场违规的案例。确保他们了解恶意行为者过去使用的主要途径,例如渗透网络或泄露敏感信息。
2.管理。建立优先的网络漏洞列表,通常称为风险登记。让尽可能多的IT团队成员加入到列表中,并确定已知漏洞的优先级。为风险登记册上最多产或最有洞察力的贡献者提供奖励和表彰,以此作为鼓励他人做出贡献的一种手段。
3.谈论。任何一个领导者如果每天自发地表现出对安全相关的话题的兴趣或关注,很快就会发现他们的同事和下属也在这样做。工作人员从他们的领导那里得到暗示,无论是有意识的还是下意识的。
4.衡量。安全指标设计起来很棘手。IT人员可以专注于企业范围内的安全保障措施的实施或其有效性。出于可以理解的原因,许多公司不愿广泛传达其保障措施的有效性,如果不能与员工或管理团队成员共享,则其指标不太可能影响员工行为。
5.个性化。利用每一个可能的机会,在员工作为互联网消费者遇到的安全问题和他们在工作中遇到的安全问题之间建立类比。IT部门帮助团队成员了解被破坏的凭证、勒索软件、cookies和其他网络威胁会如何影响他们的个人生活,并且会对他们在工作场所使用互联网的方式变得更加敏感。
6.惩罚。在完美的世界中,只需要教育团队成员关于网络威胁和保护措施,他们的行为也会相应改变。然而,在实际运营的世界中,当政策、控制和操作程序有意或无意地受到损害时,需要对相关人员进行惩罚。当业务结果受到损害时,员工通常会接受个人处罚。他们需要了解安全控制是出于商业原因而建立的,并且不遵守此类控制将会产生后果。惩罚显然需要根据损害行为的严重程度进行分级,但如果没有这样的处罚,将会破坏企业试图建立的文化。
引领安全文化
如果企业没有一支由信息安全专业人士组成的团队,那么无论他们是否技术精湛或资金充足,都很难保护企业免受各种黑客和网络攻击者的侵害。事实上,在任何情况下都无法实现绝对的安全保障,但如果企业能够建立一种安全文化,每个员工都能理解他们面临的风险,并完全遵守保障措施的话,那么成功的可能性就会大大增加。虽然很少有人会反对这一说法,但大多数人对从哪里开始感到困惑。安全团队必须有安全文化,因为这是他们的工作。安全团队之外的IT专业人员需要全心全意地接受这种文化,并成为安全文化的传播者。
当安全文化支持者能够将旁观者转变为行动者时,就会取得成功。如果IT领导者可以避免过度设计策略、控制和程序,并亲自制定上述触发因素实践,他们可以在IT中创建成功的安全文化,为企业的其他部门提供指导。很多IT领导者表示,他们无法在公司内部发挥更广泛的领导作用,而建立安全文化这是他们的机会!