如果IT部门没有安全文化,就不可能在公司中建立安全文化。 IT部门必须拥有广泛而有意义的安全文化,可以作为公司所有其他部门的榜样。
大多数公司认为,企业IT部门或其他部门的内部安全专家可以保护99%以上的其他员工免受因恶意攻击而发现业务敏感或业务关键信息的人员的攻击。不幸的是,许多IT部门都有同样的错觉。超过95%的IT人员认为他们的安全团队(只能占IT员工总数的5%或更少)将使他们摆脱困境。事实证明,其中许多想法都是错误的,并且仍存在安全威胁。
在这个普遍安全意识的时代,几乎所有公司都制定了安全计划。安全计划包括由公司的信息安全主管或高级安全负责人开发的策略,实施策略的操作控制,实施控制的工作规则和程序,支持规则的工具和程序,以及安全运营团队的规则,用于监控工具和程序,并审查控制的一致性和有效性。这听起来很复杂,但大多数IT部门都对成功的安全计划的关键部分有很好的理解,并且在某些程度上已经在大多数组织中实施。
安全规划和安全文化是两回事。在安全文化中,员工对其公司面临的网络安全威胁有很好的理解。他们了解在其行业或市场中运营的恶意行为者的动机和意图。业务网络安全问题和关注点通常在业务会议中讨论,例如季度业务审查,业务战略会议,预算计划会议以及合并和收购评估。它们不仅限于特定于安全性的定期会议,因为业务负责人和员工都明白安全性是日常业务运营中不可或缺的一部分。在具有真正安全文化的公司工作的员工在实施安全保护措施方面发挥着积极作用。
有些人可能会争辩说,在一个在多个地理位置运营的大型多元化公司建立真正的安全文化是不可能的,但有很多证据证明这是可能的。大多数金融服务公司高度重视风险管理并发展有效的安全文化。依赖内部开发的知识产权的公司,如制药公司,对网络安全同样谨慎。许多大型跨国公司都有广泛而令人信服的安全文化。
IT部门应该举例说明
如果IT部门不存在这样的文化,就不可能在公司内部建立安全文化。 IT部门负责恶意行为者可以操纵的路由和流程的安全性,以避免在防御网络安全方面发挥核心作用。如果IT部门没有认真对待其网络安全职责,那么在整个公司建立这种文化的希望是什么?虽然IT部门无法在整个公司内独立建立安全文化,但他们应提供其他功能可以模仿的此类文化的示例。但是,这很少发生。有许多IT部门将安全职责委派给一小部分安全专业人员,而其他工作人员则基本上忽略了这些安全职责。安全团队之外的许多IT团队经常拒绝,忽视或讨论在其现有技术堆栈或操作过程中包含更严格保护的策略。此外,当被要求帮助解决与安全相关的审计问题或对特定安全事件的响应时,个别工作人员表达沮丧或漠不关心的情况并不少见。安全培训通常被认为是浪费时间和占用其他更紧急的工作。
建立安全文化。
IT领导者如何在其组织内构建安全文化?下面有六个触发器,如果它们继续运行,将产生所需的结果。
1.教育教育工作人员确定威胁公司的恶意行为者的一般身份。讨论其他公司发生的类似产品,服务,运营模式或违规行为的案例。确保他们了解恶意参与者过去使用的主要方式,例如穿透网络或过滤机密信息。
2.管理。建立首选网络漏洞列表,通常称为风险日志。让尽可能多的IT团队成员加入列表并确定已知漏洞的优先级。为风险登记册中最富有成效或最富有洞察力的纳税人提供奖励和表彰,作为鼓励他人贡献的手段。
说话。任何每天自发表达对安全问题的兴趣或关注的领导者很快就会发现他的同事和下属也在做同样的事情。无论是有意识还是潜意识,工作人员都会收到领导人的线索。
4.测量。安全指标很难设计。 IT人员可以专注于整个公司的安全保障措施的实施或其有效性。出于可以理解的原因,许多公司不愿意广泛传达其保障措施的有效性,如果不与员工或管理团队成员共享,他们的指标不太可能影响员工行为。
5.定制。利用一切可能的机会,将员工作为互联网消费者所面临的安全问题与他们在工作中面临的安全问题进行类比。 IT部门帮助团队成员了解损坏的凭据,勒索软件,cookie和其他网络威胁如何影响他们的个人生活,并对他们在工作场所使用互联网的方式变得更加敏感。
6.惩罚。在一个完美的世界中,教育团队的成员只需要了解网络威胁和保护,他们的行为也会相应改变。但是,在实际操作的世界中,当政策,控制和操作程序有意或无意地受到损害时,相关人员必须受到惩罚。当业务结果受到损害时,员工通常会受到个人处罚。他们必须明白,出于商业原因建立了安全控制措施,如果不遵守这些控制措施,就会产生后果。显然,惩罚必须根据损害的严重程度进行分类,但如果没有这种惩罚,就会破坏公司试图建立的文化。领先的安全文化
如果一家公司没有信息安全专业人员团队,那么很难保护他们免受黑客和网络攻击者的攻击,无论他们是经过培训还是资金充足。事实上,在任何情况下都无法实现绝对安全,但如果公司能够建立安全文化,每个员工都能理解他们面临的风险并完全遵守保障措施,那么成功的机会就会大大增加。虽然很少有人会反对这种说法,但大多数人都对从哪里开始感到困惑。安全团队必须具备安全文化,因为这是他们的工作。不属于安全团队的IT专业人员必须全心全意地采用这种文化,成为安全文化的沟通者。
当安全文化的支持者能够将观众变成演员时,他们就会成功。如果IT领导者可以避免过多的工程策略,控制和程序,并亲自开发上述激活实践,他们可以创建一个成功的IT安全文化,为组织的其他部分提供指导。许多IT领导者表示他们无法在公司内部发挥更广泛的领导作用,建立安全文化是他们的机会!
中文
电话咨询
微信咨询
公众号
