网络攻击已经成为我们不得不面对的现实,如果连世界上最大的一些组织,甚至网络安全公司都会沦为网络犯罪分子的受害者,那么几乎没有任何个体可以幸免。虽然这绝不是我们希望看到的景象,但这也不是世界末日。组织应该将每一次安全事件视为一次教育机会,审视出现安全问题的原因以及如何防止再次发生。“不要浪费一次危机的机会”,网络攻击已无法回避,另一个角度来看,也是培养积极安全文化的良机。
然而,企业领导者往往很难在实施安全控制措施的同时不显得那么盛气凌人。一个充分赋能员工安全地履行职责的组织与一个类似奥威尔式(Orwellian)霸主的组织之间的界限往往非常模糊。
积极的网络安全文化
积极的网络安全文化是指员工在公开谈论网络安全话题时能够感到自在和自信(也就是心理安全感),他们的组织会以公平的、富有同理心的姿态来评价员工的风险行为或安全决策。积极的安全文化能释放员工的潜能,确保他们做出的安全决策不仅能保护他们自己,还能保护整个组织。
积极的网络安全文化有四个基本组成部分:
强有力的领导力:公司高管(尤其是首席信息安全官)必须以身作则,展示他们对安全的长期承诺,并促进将安全文化视为业务的基本组成部分,而不是一种障碍。
清晰的沟通策略:组织必须建立有效的沟通策略,让员工可以自由地表达他们的安全顾虑,随时向安全团队提出问题而不必担心受到评判,允许以匿名方式报告网络安全事件而不必担心被打击报复。安全团队必须与其他部门协作和沟通,并解释他们为什么要制定相应的安全策略,而不是简单、粗暴地只管执行策略。
简洁的报告流程:复杂或耗时的报告流程会阻碍员工举报网络安全事件的行为。组织必须建立透明、便捷的报告流程,并确保员工熟悉这些流程。
定期的安全意识培训:员工需要定期接受网络安全意识培训,以识别潜在威胁并避免成为社会工程学骗局的受害者。组织应根据具体的岗位角色和其安全专业知识水平量身定制培训,以避免不必要的安全培训让员工负担过重。
一种平衡的艺术
培育积极的安全文化而不是“老大哥式”强制推行,依赖于在监控、治理和信任三者之间取得平衡。例如,许多组织都在利用基于人工智能(AI)和机器学习(ML)解决方案的内部人员威胁管理工具。考虑到内部人员威胁是一个日益严峻的问题,这是一个明智之举。
然而,这些解决方案利用行为分析,全天候监控员工活动。不难理解的是,一想到组织会不断地实时监视员工,他们会感到非常不自在。组织必须向员工证明,这种监控纯粹是出于安全目的,相应数据绝不会落入人力资源或绩效考核团队的手中。
同样,透明度对于在道德层面培养积极的安全文化至关重要。安全团队必须清晰地告知所有安全控制措施的目的和范围,强调它们仅用于保护组织及其利益相关者。组织应制定书面的、通俗易懂的安全策略和指南,以供员工参考。
在安全团队和其他部门之间建立良好的合作伙伴关系对于营造积极的安全文化至关重要。鼓励定期进行部门间对话,确保员工与安全团队相处融洽--团建活动、跨职能项目和协作计划都是实现这一目标的好方法。
组织还应制定激励计划,尽可能地宣传和庆祝成功案例。以前员工往往只有在发生安全事件时才听到网络安全的声音,因此对待网络安全常常持有负面看法。组织应该表彰那些发现威胁或采取行动保护组织免受网络犯罪入侵的员工--在内部通讯、团队会议或组织活动中大力表扬和认可员工所做出的贡献。
同样重要的是,必须强调:网络安全不仅仅是为了保护组织的利益,也是为了员工的切身利益。许多重大网络事件都涉及员工数据,包括身份证信息、信用卡详细信息等敏感信息。值得一提的是,并不是所有员工都会关心他们的雇主利益,但他们会关心自己的利益。
让员工参与事件响应是鼓励组织透明度和培养积极安全文化的另一种好方法。当安全事件发生时,安全团队应该邀请员工参与响应过程,这样他们就能更好地理解事件发生的原因、如何预防事件发生,并感受到自己是组织安全防线中的重要力量。
总结
积极的网络安全文化包括强有力的领导力、清晰的沟通策略、简单的报告流程和定期的安全意识培训。员工在报告安全事件和讨论安全问题时应感到轻松,没有压力。为了避免被视为“强权式”组织,企业应该通过团队建设活动和跨职能项目鼓励安全团队与其他部门之间进行良好的互动沟通。透明度对于积极的安全文化至关重要,组织应该尽一切努力向员工解释制定安全策略的必要性。
本文编译自www.infosecurity-magazine.com/next-gen-infosec/positive-security-culture-big/,原作者~JoshBreaker-Rolfe
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。