企业的安全文化不仅仅是制定合理的政策和程序,而应该是一套 “社会化” 的操作系统,它能够影响并指导员工将安全意识和行为融入到日常生活中。一旦企业安全文化走向崩溃,那么无论是在安全团队内部,还是在安全团队与组织的其他部门之间,都可能会形成网络实践松懈、玩世不恭甚至相互指责的有毒环境。
行业领导者为我们提供了 5 个揭示企业安全环境有毒的迹象,同时还为我们提供了获得真正良好的安全文化的相关建议。
企业安全文化有毒的5个迹象
1. 他们正在玩 “推卸/责备” 游戏
ISACA 董事会主席 Rob Clyde 表示,当企业发生重大安全事件时,有毒环境中的焦点就会立即转向 “谁应该受到责备” 的问题上。很显然,该组织正在寻找替罪羊——一个背黑锅的人。对于这一点,大家可以参考一下领导层的平均任期,如果不到三年,这可能就是一个警告信号了。
根据 2019 年 Nominet 对 408 位 CISO 的调查结果显示,CISO 的平均任期不到三年。近三分之一的受访者 (30%) 表示,其任期甚至不足两年。这种情况只会让企业组织始终处于一种不断变化的状态之中,不利于企业长期稳定的发展。
2. “犬儒主义” 盛行
犬儒主义 (Cynicism) 是个外来词,中文里本来没有现成的对应词汇,通常将它理解为讥诮嘲讽、愤世嫉俗、玩世不恭。W Risk Group的首席执行官 Karen Worstell 表示,犬儒主义是最容易发现的有毒行为。
当你听到人们以愤世嫉俗的方式谈论企业管理或生活,这时候就需要加强警惕了。它表示企业内部人员存在压力和痛苦,而且人们时常会觉得没有任何办法影响他们所负责的结果,他们对于一些事情感到无能为力,这时候玩世不恭的行为就会占据上风。
除此之外,出勤率或是 “点到即止” 的做事风格也能够证明安全环境是有毒的。
3. 内部漏洞增加
当企业安全文化开始出现问题时,指标会显示告警迹象,例如内部漏洞增加。我们知道,20% 的违规行为通常发生在组织内部,且源自内部员工的人为失误。日复一日,周而复始,你是否发现比平常更多的 “以员工为中心” 的漏洞正发生在组织内部?这可能表明员工不知情或者根本不关心正确的安全卫生问题。此外,较高的员工流失率和惨淡的营业额也能表明员工对工作的不满。
4. 答案通常是 “NO”
如果企业 CISO 团队口中给出的第一个答案是 “NO”,那就说明这是一个有毒的安全文化环境。当遭到斥责之后,人们就会寻找可以绕过安全部门的方法,这样一来会产生无数未知的安全风险。
Marsh LLC 公司网络风险咨询师 Kevin Richards 列举了一个广告代理商 CISO 的案例,该 CISO 默许客户为其每个项目运行 15 - 20 个云环境,因为客户并不想与自己的内部安全团队打交道。
对于大多数员工来说,他们被安全团队拒绝了太多次,以致于他们想要寻求不同的能够绕过安全团队的方式。有多少人之所以选择开辟自己的协作能力,只是因为在企业内 “以正确的方式” 完成这件事太难了?他们这样做并非本着恶意企图或是为了给组织增加安全风险,他们只是想要做好自己的工作而已。
5. 安全团队是孤立的
Deloitte&Touche LLP 的负责人 Emily Mossburg 表示,当安全团队过于孤立并专注于孤岛中的安全性时,并不利于在整个组织内更广泛地推动关系和网络构建。
这会造成安全团队和企业其他部门之间的隔阂,同时扼杀来自不同角度的思想结晶。有时候,由于来自整个组织的压力,人们会担心失去作为安全团队的权力和职责,所以就逐渐形成了一种孤立和对信息绝对控制的局面。但是,这种孤立的局面无疑是有毒的,这就相当于网络团队单枪匹马地对抗其他所有部门。
如何获得你想要的企业安全文化
真正的文化变革可能需要数年才能完成,但现在可以采取以下几个步骤将脱轨的网络安全文化重新推向正轨。
1. 帮助安全团队全面看待事物
在安全团队内部,领导者应该学会如何处理看似不可能或永无止境的情况,并从其他角度看待该问题,看看我们能够做出哪些创造性的事情来。专注于我们控制范围内的事情,思考我们如何才能将这个事情重新定义为另一个不会给个人带来负担的视角?
2. 想办法说 “YES”
安全领导者应该积极地帮助组织在安全指南的构建中找到更好地完成工作的方法。通常情况下,如果员工理解为什么这样做能够让企业更安全,他们会乐意遵循这些建议的。
以会议服务为例,现在有 12 - 15 个会议桥服务可供选择,为什么他们要使用公司所选择的服务呢?对于普通用户来说,这可能不成问题,但是对于受到严格监管的企业而言,如果在共享项目数据或机密信息时出现不适当的情况,或是其他故障,则可能会对该企业造成致命伤害。用户不了解绕过公司选择的会议服务有什么后果很正常,但是 CISO 的工作就是思考所有这些事情,并提供相应的教育和正确的选择。
3. 制定网络安全文化管理计划
根据 ISACA 对 4,800 名商业和技术专业人士的调查结果发现,在 2018 年,42% 的组织没有概述的网络安全文化管理计划或政策,来描述安全目标、教育以及员工的个人责任等相关问题。但是,制定网络安全文化管理计划是迈向网络安全文化的第一步。
4. 为网络安全培训和工具提供资金支持
报告指出,企业对于当前和期望的网络安全文化之间存在巨大差距,它们表示目前用于培训和购置工具的预算仅占年度网络安全总预算的 19%,而它们所期待的网络安全文化构建工作可能需要多出该比例两倍 (43%) 的支出。
想要改善企业安全文化,我们所能做的最好的事情就是对内部人员进行投资。我们需要抵制增加更多员工(以解决网络安全问题)的诱惑,而是专注投资我们目前所拥有的员工。
5. 重新定义与业务部门的关系
安全领导者需要更加开放,更加网络化,并与组织内部的其他成员保持更加透明的关系,以创建积极主动而非被动的安全文化。当他们这样做时,他们将能够更轻松地完成任务。
408 位 CISO 的调查报告:
https://media.nominet.uk/wp-content/uploads/2019/02/12130924/Nominet-Cyber_CISO-report_FINAL-130219.pdf
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。