在这个数字化快速发展的时代,网络安全系统中最薄弱的环节就是人。如果没有良好的网络安全文化,安全建设工作就难以向前迈进一步。网络安全文化存在于每个员工的内心,是引导和规范其网络行为的“心镜”,人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。
对于现代企业组织而言,打造健康、先进的网络安全文化具有重大的现实意义和作用,不仅可以使网络应用环境更加安全和谐,还可以让所有员工都意识到维护网络安全环境的重要性,以及自己在保护企业和个人网络安全方面的责任与角色。
构建网络安全文化的挑战
Forrester Research首席分析师Jinan Budge将网络安全文化定义为一种可信任的工作环境:每个人能够理解企业网络安全的重要性,并把自己看成是维护网络安全的一分子;每个人都为能够帮助网络安全工作开展感到兴奋,并希望企业的网络安全防护工作做得更好。
培养网络安全文化可以确保员工了解公司数字化发展中的风险是什么,以及可能的风险有哪些,从而正确应对或报告这类风险。而且,这种安全文化有助于企业建立更坚固的防线来抵御网络攻击和可能的数据泄露,从而更有效地保护组织。
从某种意义上说,网络安全文化还会直接影响公司的管理决策,特别是在需要进行预算权衡时。因为企业治理就是在决策和权衡过程中寻找最优化的解决方案,而网络安全文化将会决定整个企业未来在网络安全建设方面的重视程度和优先级。
虽然打造网络安全文化可以降低安全风险并提升业务效率,但这条道路面临重重挑战。
- 缺乏足够的安全预算;
- 不能得到公司管理层的支持;
- 对网络安全的宣教不足,一些员工对接触安全有天生的畏惧感;
- 安全团队和业务部门在共同提升网络安全意识水平时协同不足;
- 缺乏胜任安全管理工作的CISO。
打造网络安全文化的最佳实践
打造健康的网络安全文化既是一个战术问题,也是一个战略问题。在这个过程需要阐明目标,并弄清楚如何实现目标。它需要交流沟通技能,采取善解人意的做法,确保网络安全与所有员工的利益密切相关,确保安全文化与更广泛的组织文化相一致,这些都是确保成功实施网络安全文化的。
以下总结了五个最佳实践经验,可以帮助企业组织更好地开展网络安全工作,打造健康的网络安全文化。
制定明确的目标
创建网络安全文化的第一步是定义基本指标,并确保企业中每个与网络安全相关者都知道该计划。该计划应该详细说明当网络安全事件发生时必须采取的步骤。制定计划可以大大减少网络安全事件对业务造成的损害,并可以减轻由此造成的损失。
从高层开始推动
组织成功打造安全文化的第一步是取得管理层的支持和配合。安全专业人员应了解公司整体业务战略,识别出与该战略相关的风险,并用业务部门能够理解的术语传达这些风险。一旦组织的高管们了解风险是什么、要求是什么,他们就能够坚定支持安全部门的工作。
要以人为本
让员工在工作模式上做出改变是很困难的,因为他们更专注于自己的工作。另一方面,网络安全是一个不断变化的领域,给他们学习所需的资源,并实施一些激励措施。网络安全文化建设需要了解每个利益部门的潜在风险和面临的挑战。然后在此基础上,为每个利益相关者群体打造安全文化构建计划。
让安全意识培训变得有趣有益
一般的安全培训课程会让员工觉得很无聊。如果企业想认真对待网络安全文化和意识培养,常常需要更好的方法。其中重要的一点,就是需要直观地向员工表明,如果发生违规行为,每一位员工都可能受到影响,或者可以向员工展示数据泄露的危害视频。当员工亲眼看到安全事件造成的严重后果时,会有更深刻的感触。
持续的训练和优化
网络犯罪分子每天都在寻找新的漏洞,企业也应该如此。应该不断让员工了解各类网络安全漏洞以及在日常办公最容易造成网络安全风险的举动。从而反复进行学习及练习。同时,改变企业网络安全文化可能需要五年或者更长时间,但CISO的平均任期只有两年多一点。因此,组织应确保内部有继任者可以继续推动这项工作,以实现网络安全文化氛围的真正变革。