建立強(qiáng)大安全文化的4個(gè)技巧

Dan Swinhoe

為了更好地保護(hù)數(shù)據(jù)，安全團(tuán)隊(duì)需要?jiǎng)?chuàng)建一種個(gè)人責(zé)任文化，而不是責(zé)備和恐嚇。以下是兩位安全主管的做法。

安全團(tuán)隊(duì)無法保護(hù)他們看不到的東西。雖然監(jiān)控工具做得越來越好，但是最終用戶和業(yè)務(wù)經(jīng)理需要告訴IT和安全團(tuán)隊(duì)他們?cè)诓煌瑧?yīng)用程序上所使用的數(shù)據(jù)，尤其是在出現(xiàn)問題時(shí)。

安全方面中的責(zé)備和恐嚇等企業(yè)文化意味著最終用戶不會(huì)告訴你他們是否使用了未經(jīng)批準(zhǔn)的應(yīng)用程序，點(diǎn)擊了惡意鏈接或看到了異常活動(dòng)。直到問題出現(xiàn)之時(shí)已經(jīng)為時(shí)已晚。安全團(tuán)隊(duì)?wèi)?yīng)該建立一種用戶個(gè)人責(zé)任文化，以便他們能夠像對(duì)待健康和安全等企業(yè)政策一樣對(duì)待數(shù)據(jù)安全。

責(zé)備文化只會(huì)讓安全性越來越差

將人視為一個(gè)薄弱環(huán)節(jié)，并創(chuàng)造一種員工擔(dān)心因安全故障而遭到報(bào)復(fù)的環(huán)境，這不是經(jīng)營(yíng)企業(yè)的好方法。然而，一些企業(yè)往往會(huì)采取一些極端措施來懲罰騙局的受害者。一家蘇格蘭媒體公司在遭遇網(wǎng)絡(luò)釣魚騙局后解雇并起訴了一名員工，原因是騙子冒充該公司總經(jīng)理從這名員工手中騙走了約20萬英鎊（25萬美元）。Brian Krebs最近公布了多起員工因未通過模擬網(wǎng)絡(luò)釣魚測(cè)試而遭到解雇的案例。

這種責(zé)備文化只會(huì)讓員工在出現(xiàn)問題時(shí)不敢站出來……從而使數(shù)據(jù)面臨風(fēng)險(xiǎn)。“這些處理信息的人不能成為薄弱環(huán)節(jié)，”畢馬威英國(guó)首席信息安全官M(fèi)ark Parr說。“我希望讓員工感到平易近人，如果他們犯了錯(cuò)誤，他們能夠告訴我。這一切都是為了建立信任，讓我的同事們覺得我實(shí)際上是在支持他們而不是在事情出錯(cuò)后就要處罰他們。”

為了幫助建立安全團(tuán)隊(duì)與員工之間的信任，畢馬威啟動(dòng)了一項(xiàng)計(jì)劃，旨在表?yè)P(yáng)那些在企業(yè)內(nèi)部發(fā)現(xiàn)了安全問題的員工。Parr稱：“我希望發(fā)展這種文化，讓人們樂于告訴我，或者是在發(fā)生問題或事情后，他們能夠向服務(wù)臺(tái)報(bào)告。我們有一個(gè)內(nèi)部系統(tǒng)，我們會(huì)表?yè)P(yáng)員工，其他員工也都可以看到。如果有人來找我說‘我注意到了這個(gè)問題'，那么我會(huì)讓他們的直接主管知道是這個(gè)人主動(dòng)站出來報(bào)告了問題。”

英國(guó)電子商務(wù)零售商The Hut Group（THG）全球安全運(yùn)營(yíng)主管Graeme Park警告稱，無論員工是使用BYOD（自帶設(shè)備），還是從工作計(jì)算機(jī)訪問個(gè)人電子郵件，亦或是通過個(gè)人計(jì)算機(jī)訪問工作郵件，還是出于商業(yè)目的使用個(gè)人SaaS（軟件即服務(wù)）賬戶，鑒于業(yè)務(wù)與個(gè)人系統(tǒng)、應(yīng)用程序與設(shè)備之間的關(guān)系，糟糕的個(gè)人安全是企業(yè)遭到攻擊的一個(gè)因素。企業(yè)可以將控制與培訓(xùn)相結(jié)合，而不需要采取恐嚇的手段。Park稱：“這是一個(gè)重新培訓(xùn)的問題，目的是讓安全部門變得平易近人，而不是將員工打倒讓他們永遠(yuǎn)無法翻身。”

例如，Park在網(wǎng)絡(luò)代理方面經(jīng)常“小題大做”，同時(shí)記錄所有內(nèi)容，包括對(duì)用戶訪問違規(guī)網(wǎng)站的行為進(jìn)行警告并應(yīng)要求用戶提供理由，說明為什么需要使用訪問該頁(yè)面。他說：“你在履行控制權(quán)的同時(shí)應(yīng)給他們灌輸安全知識(shí)，讓他們思考并讓他們自己證明。如果員工們這樣做，那么他們會(huì)有意識(shí)地決定自己的所做所為是否正確，是否安全，是否符合規(guī)定。”

“他們也知道會(huì)在這個(gè)階段被審核，這實(shí)際上會(huì)讓他們?cè)俣嗫紤]考慮。同時(shí)這也賦予了他們更多的權(quán)力，”Park補(bǔ)充道。

優(yōu)秀安全文化應(yīng)具備的特征

如果責(zé)備文化不好，那么優(yōu)秀的安全文化應(yīng)該是什么樣子呢？畢馬威的Parr認(rèn)為：“人們下意識(shí)地知道與日常活動(dòng)相關(guān)的風(fēng)險(xiǎn)，并且有信心降低風(fēng)險(xiǎn)或處理風(fēng)險(xiǎn)。我們必須擯棄‘一切都很好，首席信息安全官會(huì)為我們處理好的這種想法。”

Parr和Park認(rèn)為首席信息安全官應(yīng)該專注于在以下四個(gè)關(guān)鍵領(lǐng)域提供強(qiáng)大的安全文化。

1.讓安全性變得淺顯易懂

自從Parr在一年多前擔(dān)任首席信息安全官以來，畢馬威英國(guó)公司一直在改變其在公司內(nèi)部的安全文化和教育方法，以確保該公司在27個(gè)辦公地點(diǎn)的16000名英國(guó)員工在安全意識(shí)方面都處于同一水平。Parr稱：“良好的文化可讓人們對(duì)信息安全充滿自信和感到貼心，而不是覺得它們是一門科學(xué)或玄學(xué)。”

創(chuàng)建具有安全意識(shí)的文化的一個(gè)關(guān)鍵方面是讓受眾喜聞樂見，為此畢馬威的安全教育內(nèi)容盡可能以簡(jiǎn)單易懂的語言編寫，并且適用于員工。Parr稱：“我希望員工在家中對(duì)信息安全的看法與他們?cè)诠ぷ髦械目捶ㄒ恢隆Ｍㄟ^設(shè)定現(xiàn)實(shí)生活場(chǎng)景，為員工指出明確的方向非常關(guān)鍵。”

“無論是幫助客戶進(jìn)入我們的客戶演示套件的前臺(tái)工作人員，還是正在進(jìn)行審計(jì)的人員，或者是幫助客戶解決技術(shù)問題的技術(shù)團(tuán)隊(duì)人員，只要語言是一樣的，那么就都可以聽懂。”

這些基礎(chǔ)知識(shí)會(huì)讓最終用戶更容易理解，反過來也意味著他們會(huì)更加認(rèn)真地對(duì)待企業(yè)信息的安全性，因?yàn)樗麄兛梢韵胂蟪鲥e(cuò)的后果。Parr說：“對(duì)我來說，成功的關(guān)鍵是責(zé)任。如果員工認(rèn)為他們理解了為什么自己對(duì)這些數(shù)據(jù)的處理和管理負(fù)有責(zé)任，那么我就做對(duì)了。”

2.提供持續(xù)的意識(shí)培訓(xùn)

作為這種文化變革的一部分，畢馬威已經(jīng)從演示、評(píng)估進(jìn)行到了Parr所稱的“持續(xù)不斷地灌輸意識(shí)”階段，即通過活動(dòng)、培訓(xùn)、視頻和播客培養(yǎng)意識(shí)。“觀看幻燈片、盡可能快地點(diǎn)擊、最后回答20個(gè)問題并希望你及格，然而這些并沒有真正向我展示任何東西，只表示你能夠記住幻燈片中的一些信息。我想要的是讓人們了解一些規(guī)則和指導(dǎo)，知道自己可以做什么和不能做什么，以及自己的角色。”

Parr稱：“首先要使用非常簡(jiǎn)單的語言、易于閱讀的政策文件，將這些文件壓縮成像篇幅不大的新聞熱點(diǎn)一樣，以吸引人們抽時(shí)間閱讀它們。然后再配上三分鐘時(shí)長(zhǎng)的小視頻，方便人們乘車上班途中觀看這些視頻。這樣做的目的是為了保持意識(shí)灌輸活動(dòng)持續(xù)不斷，讓員工始終處于被提醒中。”

雖然對(duì)文化進(jìn)行測(cè)評(píng)非常困難，但是Parr還與公司的學(xué)習(xí)和開發(fā)團(tuán)隊(duì)合作，圍繞公司有多少員工正在收聽播客、觀看視頻以及與團(tuán)隊(duì)正在制作的其他安全內(nèi)容進(jìn)行互動(dòng)等情況制定了參與度指標(biāo)。這樣有助于獲得培訓(xùn)材料是否與工作人員產(chǎn)生共鳴的指標(biāo)。

他補(bǔ)充道，“我還需要不斷考慮與員工進(jìn)行互動(dòng)的新方法，不僅要在安全性方面提醒他們，還要讓他們更多地參與到我正在嘗試的事情當(dāng)中。”

為了提升員工學(xué)習(xí)的積極性，公司高層會(huì)定期鼓勵(lì)員工觀看、閱讀和收聽這些安全材料。業(yè)務(wù)信息安全官們要作為信息安全主題專家深入到業(yè)務(wù)領(lǐng)域，鼓勵(lì)員工更直接地參與其中。

3.與使用影子IT的員工合作

以安全為由解雇員工，從而制止員工使用未經(jīng)批準(zhǔn)的應(yīng)用程序（稱為影子IT）是不明智的。Park認(rèn)為“影子IT長(zhǎng)期以來一直是一個(gè)問題，其背后的推動(dòng)因素實(shí)際上是IT系統(tǒng)無處不在，無論是軟件還是硬件，無論是在家里還是其他地方。”

Park稱：“這些人并不壞，他們也并沒有試圖利用影子IT故意規(guī)避公司政策或公司安全策略。通常情況下，他們只是想更好更快更容易地完成工作。這是IT和安全部門的失敗，我們可以從阻止者變?yōu)橥苿?dòng)者，確保員工們擁有完成工作所需的工具。”

Park表示影子IT的范圍涉及SaaS服務(wù)、未經(jīng)批準(zhǔn)的桌面應(yīng)用程序以及一些“規(guī)模很小但是影響力很大的東西”，如與Slack或JIRA、瀏覽器擴(kuò)展、甚至是與企業(yè)網(wǎng)絡(luò)上類似亞馬遜Alexa等設(shè)備的整合。無論影子IT采取何種形式，IT和安全都應(yīng)以更加開放的態(tài)度接受它們。如果因擔(dān)心違反公司政策而遭到處罰，那么將導(dǎo)致用戶永遠(yuǎn)都不會(huì)告訴IT部門他們?cè)谧鍪裁础?/p>

Park稱：“在這一點(diǎn)上，我們要更加聰明靈活。無論怎么說這些事情都在切切實(shí)實(shí)地發(fā)生。如果使用這些外部工具的風(fēng)險(xiǎn)有限——假設(shè)有人想要在工作中使用某款設(shè)計(jì)工具，而這些工作又不涉秘——那么這種情況的風(fēng)險(xiǎn)可能有限。你需要能夠?yàn)槿藗兲峁┮欢ǔ潭鹊撵`活性。”

4.積極展示優(yōu)秀安全文化

改變企業(yè)內(nèi)部的安全文化也意味著改變安全團(tuán)隊(duì)的思維方式。員工們希望首席安全官成為一名優(yōu)秀的溝通者和領(lǐng)導(dǎo)者，和首席安全官一樣，安全團(tuán)隊(duì)也要追求這種效果。

Park稱：“過去十年來，安全團(tuán)隊(duì)在平易近人方面做得并不是很好。我們很少用簡(jiǎn)單的語言進(jìn)行表述，我們也沒有在闡明真正的基本技術(shù)問題的基礎(chǔ)上闡明風(fēng)險(xiǎn)。”

Park認(rèn)為，安全需要以類似健康和安全警告的方式傳達(dá)信息。“向人們解釋為什么不應(yīng)在沒有個(gè)人防護(hù)裝備（PPE）的情況下進(jìn)行攀巖，因?yàn)檫@種后果是顯而易見的。但是向人們解釋為什么他們?cè)谑褂肧harePoint時(shí)不能使用Dropbox卻非常困難，因?yàn)樗鼈兊暮蠊⒉幌裨跊]防護(hù)的情況下攀巖的后果那么明顯。”

“我們需要真正的參與和教育，從而確保員工了解他們正在做什么，知道如果自己失去了某些文件或知識(shí)產(chǎn)權(quán)會(huì)發(fā)生什么。將問題框在每個(gè)人應(yīng)承擔(dān)的責(zé)任當(dāng)中具有巨大價(jià)值，”Park說。

Parr也一直與安全團(tuán)隊(duì)合作，嘗試著改變他們的思維方式，讓他們成為自己向公司其他部門灌輸安全文化的大使和擁護(hù)者。他說：“這些人正在展示優(yōu)秀的安全文化應(yīng)該是什么樣子，同時(shí)也讓他們的同事不斷看到這些優(yōu)秀的安全文化。很長(zhǎng)一段時(shí)間以來，信息安全被視為一種商業(yè)行為，這扼殺了許多好的想法。現(xiàn)在不能再這樣下去了，我們應(yīng)當(dāng)讓企業(yè)清楚我們的工作和推動(dòng)方式，讓他們知道這么做是安全且可靠的。”

本文作者Dan Swinhoe為CSO Online網(wǎng)站記者，曾擔(dān)任IDG Connect網(wǎng)站高級(jí)編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3404518/4-ways-to-build-a-strong-security-culture.html