建立強大安全文化的4個技巧

Dan Swinhoe

為了更好地保護數據，安全團隊需要創建一種個人責任文化，而不是責備和恐嚇。以下是兩位安全主管的做法。

安全團隊無法保護他們看不到的東西。雖然監控工具做得越來越好，但是最終用戶和業務經理需要告訴IT和安全團隊他們在不同應用程序上所使用的數據，尤其是在出現問題時。

安全方面中的責備和恐嚇等企業文化意味著最終用戶不會告訴你他們是否使用了未經批準的應用程序，點擊了惡意鏈接或看到了異常活動。直到問題出現之時已經為時已晚。安全團隊應該建立一種用戶個人責任文化，以便他們能夠像對待健康和安全等企業政策一樣對待數據安全。

責備文化只會讓安全性越來越差

將人視為一個薄弱環節，并創造一種員工擔心因安全故障而遭到報復的環境，這不是經營企業的好方法。然而，一些企業往往會采取一些極端措施來懲罰騙局的受害者。一家蘇格蘭媒體公司在遭遇網絡釣魚騙局后解雇并起訴了一名員工，原因是騙子冒充該公司總經理從這名員工手中騙走了約20萬英鎊（25萬美元）。Brian Krebs最近公布了多起員工因未通過模擬網絡釣魚測試而遭到解雇的案例。

這種責備文化只會讓員工在出現問題時不敢站出來……從而使數據面臨風險。“這些處理信息的人不能成為薄弱環節，”畢馬威英國首席信息安全官Mark Parr說。“我希望讓員工感到平易近人，如果他們犯了錯誤，他們能夠告訴我。這一切都是為了建立信任，讓我的同事們覺得我實際上是在支持他們而不是在事情出錯后就要處罰他們。”

為了幫助建立安全團隊與員工之間的信任，畢馬威啟動了一項計劃，旨在表揚那些在企業內部發現了安全問題的員工。Parr稱：“我希望發展這種文化，讓人們樂于告訴我，或者是在發生問題或事情后，他們能夠向服務臺報告。我們有一個內部系統，我們會表揚員工，其他員工也都可以看到。如果有人來找我說‘我注意到了這個問題'，那么我會讓他們的直接主管知道是這個人主動站出來報告了問題。”

英國電子商務零售商The Hut Group（THG）全球安全運營主管Graeme Park警告稱，無論員工是使用BYOD（自帶設備），還是從工作計算機訪問個人電子郵件，亦或是通過個人計算機訪問工作郵件，還是出于商業目的使用個人SaaS（軟件即服務）賬戶，鑒于業務與個人系統、應用程序與設備之間的關系，糟糕的個人安全是企業遭到攻擊的一個因素。企業可以將控制與培訓相結合，而不需要采取恐嚇的手段。Park稱：“這是一個重新培訓的問題，目的是讓安全部門變得平易近人，而不是將員工打倒讓他們永遠無法翻身。”

例如，Park在網絡代理方面經常“小題大做”，同時記錄所有內容，包括對用戶訪問違規網站的行為進行警告并應要求用戶提供理由，說明為什么需要使用訪問該頁面。他說：“你在履行控制權的同時應給他們灌輸安全知識，讓他們思考并讓他們自己證明。如果員工們這樣做，那么他們會有意識地決定自己的所做所為是否正確，是否安全，是否符合規定。”

“他們也知道會在這個階段被審核，這實際上會讓他們再多考慮考慮。同時這也賦予了他們更多的權力，”Park補充道。

優秀安全文化應具備的特征

如果責備文化不好，那么優秀的安全文化應該是什么樣子呢？畢馬威的Parr認為：“人們下意識地知道與日常活動相關的風險，并且有信心降低風險或處理風險。我們必須擯棄‘一切都很好，首席信息安全官會為我們處理好的這種想法。”

Parr和Park認為首席信息安全官應該專注于在以下四個關鍵領域提供強大的安全文化。

1.讓安全性變得淺顯易懂

自從Parr在一年多前擔任首席信息安全官以來，畢馬威英國公司一直在改變其在公司內部的安全文化和教育方法，以確保該公司在27個辦公地點的16000名英國員工在安全意識方面都處于同一水平。Parr稱：“良好的文化可讓人們對信息安全充滿自信和感到貼心，而不是覺得它們是一門科學或玄學。”

創建具有安全意識的文化的一個關鍵方面是讓受眾喜聞樂見，為此畢馬威的安全教育內容盡可能以簡單易懂的語言編寫，并且適用于員工。Parr稱：“我希望員工在家中對信息安全的看法與他們在工作中的看法一致。通過設定現實生活場景，為員工指出明確的方向非常關鍵。”

“無論是幫助客戶進入我們的客戶演示套件的前臺工作人員，還是正在進行審計的人員，或者是幫助客戶解決技術問題的技術團隊人員，只要語言是一樣的，那么就都可以聽懂。”

這些基礎知識會讓最終用戶更容易理解，反過來也意味著他們會更加認真地對待企業信息的安全性，因為他們可以想象出錯的后果。Parr說：“對我來說，成功的關鍵是責任。如果員工認為他們理解了為什么自己對這些數據的處理和管理負有責任，那么我就做對了。”

2.提供持續的意識培訓

作為這種文化變革的一部分，畢馬威已經從演示、評估進行到了Parr所稱的“持續不斷地灌輸意識”階段，即通過活動、培訓、視頻和播客培養意識。“觀看幻燈片、盡可能快地點擊、最后回答20個問題并希望你及格，然而這些并沒有真正向我展示任何東西，只表示你能夠記住幻燈片中的一些信息。我想要的是讓人們了解一些規則和指導，知道自己可以做什么和不能做什么，以及自己的角色。”

Parr稱：“首先要使用非常簡單的語言、易于閱讀的政策文件，將這些文件壓縮成像篇幅不大的新聞熱點一樣，以吸引人們抽時間閱讀它們。然后再配上三分鐘時長的小視頻，方便人們乘車上班途中觀看這些視頻。這樣做的目的是為了保持意識灌輸活動持續不斷，讓員工始終處于被提醒中。”

雖然對文化進行測評非常困難，但是Parr還與公司的學習和開發團隊合作，圍繞公司有多少員工正在收聽播客、觀看視頻以及與團隊正在制作的其他安全內容進行互動等情況制定了參與度指標。這樣有助于獲得培訓材料是否與工作人員產生共鳴的指標。

他補充道，“我還需要不斷考慮與員工進行互動的新方法，不僅要在安全性方面提醒他們，還要讓他們更多地參與到我正在嘗試的事情當中。”

為了提升員工學習的積極性，公司高層會定期鼓勵員工觀看、閱讀和收聽這些安全材料。業務信息安全官們要作為信息安全主題專家深入到業務領域，鼓勵員工更直接地參與其中。

3.與使用影子IT的員工合作

以安全為由解雇員工，從而制止員工使用未經批準的應用程序（稱為影子IT）是不明智的。Park認為“影子IT長期以來一直是一個問題，其背后的推動因素實際上是IT系統無處不在，無論是軟件還是硬件，無論是在家里還是其他地方。”

Park稱：“這些人并不壞，他們也并沒有試圖利用影子IT故意規避公司政策或公司安全策略。通常情況下，他們只是想更好更快更容易地完成工作。這是IT和安全部門的失敗，我們可以從阻止者變為推動者，確保員工們擁有完成工作所需的工具。”

Park表示影子IT的范圍涉及SaaS服務、未經批準的桌面應用程序以及一些“規模很小但是影響力很大的東西”，如與Slack或JIRA、瀏覽器擴展、甚至是與企業網絡上類似亞馬遜Alexa等設備的整合。無論影子IT采取何種形式，IT和安全都應以更加開放的態度接受它們。如果因擔心違反公司政策而遭到處罰，那么將導致用戶永遠都不會告訴IT部門他們在做什么。

Park稱：“在這一點上，我們要更加聰明靈活。無論怎么說這些事情都在切切實實地發生。如果使用這些外部工具的風險有限——假設有人想要在工作中使用某款設計工具，而這些工作又不涉秘——那么這種情況的風險可能有限。你需要能夠為人們提供一定程度的靈活性。”

4.積極展示優秀安全文化

改變企業內部的安全文化也意味著改變安全團隊的思維方式。員工們希望首席安全官成為一名優秀的溝通者和領導者，和首席安全官一樣，安全團隊也要追求這種效果。

Park稱：“過去十年來，安全團隊在平易近人方面做得并不是很好。我們很少用簡單的語言進行表述，我們也沒有在闡明真正的基本技術問題的基礎上闡明風險。”

Park認為，安全需要以類似健康和安全警告的方式傳達信息。“向人們解釋為什么不應在沒有個人防護裝備（PPE）的情況下進行攀巖，因為這種后果是顯而易見的。但是向人們解釋為什么他們在使用SharePoint時不能使用Dropbox卻非常困難，因為它們的后果并不像在沒防護的情況下攀巖的后果那么明顯。”

“我們需要真正的參與和教育，從而確保員工了解他們正在做什么，知道如果自己失去了某些文件或知識產權會發生什么。將問題框在每個人應承擔的責任當中具有巨大價值，”Park說。

Parr也一直與安全團隊合作，嘗試著改變他們的思維方式，讓他們成為自己向公司其他部門灌輸安全文化的大使和擁護者。他說：“這些人正在展示優秀的安全文化應該是什么樣子，同時也讓他們的同事不斷看到這些優秀的安全文化。很長一段時間以來，信息安全被視為一種商業行為，這扼殺了許多好的想法。現在不能再這樣下去了，我們應當讓企業清楚我們的工作和推動方式，讓他們知道這么做是安全且可靠的。”

本文作者Dan Swinhoe為CSO Online網站記者，曾擔任IDG Connect網站高級編輯。

原文網址

https：//www.csoonline.com/article/3404518/4-ways-to-build-a-strong-security-culture.html