建立强大安全文化的四个建议

为了数据安全，安全团队需要建立个人责任感，而不是恐惧和相互指责。以下是两位安全主管是如何做到的描述。

安全小组无法保护他们看不见的东西。随着监控工具的改进，最终用户和业务经理需要告诉信息技术和安全团队他们在处理来自不同应用程序的数据，尤其是在出现问题时。

在安全问题上，在恐惧和相互指责的文化中，最终用户不会告诉你他们是否在使用未经批准的应用程序、点击恶意链接或看到异常活动，直到为时已晚。安全团队应该帮助用户建立个人责任感，以便他们能够像对待健康和安全等其他公司政策一样对待数据安全。

相互指责的文化加剧了安全问题

将人视为薄弱环节，创造一个员工害怕因安全问题而受到惩罚的环境不是管理公司的好方法。然而，一些组织已经采取极端措施来惩罚欺诈的受害者。一家苏格兰媒体公司解雇并起诉了该公司的一名员工，因为她参与了网络钓鱼事件，并向一名冒充公司总经理的骗子支付了近20万英镑(25万美元)要求付款。Brian Krebs最近发布了一个员工因网络钓鱼模拟测试失败而被解雇的例子。

这种相互指责的文化只会让员工在出现问题时不愿意站出来.这将数据置于危险之中。

毕马威英国首席信息官马克·帕尔(Mark Parr)表示:“为了帮助建立安全和员工之间的信任，毕马威启动了一项计划，以识别在公司内部提出内部安全问题的员工。帕尔说他希望发展这种文化。如果有问题或发生任何事情，人们愿意告诉他们或向服务台报告。毕马威有一个识别员工的内部系统，其他员工可以看到。如果有人发现自己说，‘我注意到了，这有点问题’，帕尔会通知他们的顶头上司站起来。

英国电子商务公司The Hut Group (THG)全球安全主管格雷姆·帕克(Graeme Park)警告说，由于公司和个人系统的原因，应用程序和设备——之间的连接是导致组织受到攻击的另一个因素，无论是否通过自带设备(BYOD)，人们都会通过工作电脑查看个人电子邮件，反之亦然，或者出于商业目的使用个人SaaS账户——。这取决于控制和教育的结合，而不是诉诸恐吓战术。这是再教育的一部分，目的是让人们安全、平易近人，而不是生员工的气。

Park举了一个例子，他认为网络代理经常“以小方式使用”。一个更好的方法是记录所有事情，包括警告。如果用户访问违反政策的网站，应该要求他们提供需要访问该页面的原因。

良好的安全文化是什么样的

1. 让安全易于理解

以下是帕尔和帕克认为首席信息安全官需要努力建立强大的安全文化的四个关键领域。

2. 提供持续的意识训练

3. 在影子IT问题上与员工合作

建立安全意识文化的关键之一是与观众产生共鸣。因此，毕马威的安全教育内容尽可能用简单的语言表达，精心设计适合员工的场景。帕尔说，他希望人们像对待工作中的信息安全一样对待家庭信息安全。通过设置真实场景，给人们一个清晰的方向是关键。

无论您是引导客户去会议室的前台员工，还是您负责提供审计，或者您是在帮助客户解决技术团队中的技术问题，语言都是一样的，他们可以用同样的方式理解信息安全。

让人们知道这些基础知识将使最终用户更容易理解，反过来，他们会更认真地对待企业的信息安全，因为他们可以想象犯错误的后果。帕尔说责任是成功的关键。如果人们觉得他们明白为什么他们要负责数据的处理和管理，那么事情就完成了一半。

4. 展示什么是好的

作为文化变革的一部分，毕马威已经从实时演示和评估转变为帕尔所说的通过活动、培训、视频和播客进行的“持续意识培训”。看PPT上的幻灯片，尽快浏览，最后回答20个问题，希望你能通过考试。这并不能向我证明什么。这只是显示了您从幻灯片中获取信息的能力。让人们明白有一些可用的规则和指示，知道他们能做什么和不能做什么，以及他们应该扮演什么角色。

Parr首先发布了一份非常简单易懂的政策文件。这份文件被压缩成一页的标题，以便在人们有时间阅读时引起他们的注意。然后它发展成了一个简短的三分钟视频，他们可以在火车上看。这是为了保持活动的节奏，所以人们总是会被提醒。

虽然很难评估这种文化的影响，但帕尔已经与公司的学习和发展团队合作，创建了一个参与指数，该指数反映了公司有多少员工正在收听播客、观看视频和参与团队正在开展的其他安全教育。这些指标可以用来衡量安全教育材料是否能引起员工的共鸣。

为了让更多的人参与安全教育，该组织的领导层将定期发送信息，鼓励人们观看、阅读和收听安全材料。作为信息安全方面的专家，“业务信息安全人员”负责生产活动。他们鼓励员工更直接地参与。

指责员工使用未经批准的应用程序(称为影子信息技术)和出于安全原因解雇他们一样不明智。影子信息技术问题由来已久。信息技术背后的驱动因素实际上是信息技术系统的广泛存在。无论是软件还是硬件，无论是在家里还是其他任何地方。

朴相信人并不坏。他们没有试图利用影子信息技术故意逃避公司政策或公司安全措施。总的来说，他们只是想更好、更快、更容易地完成工作。这是信息技术和安全工作的失败。信息技术和安全部门可以从路障转向司机，以确保人们拥有完成工作所需的工具。

Park说影子信息技术可以是SaaS的服务，也可以是未经批准的桌面应用程序，他称之为“规模较小但同样有影响力的影子信息技术人员”，比如整合到Slack或JIRA，浏览器扩展，甚至是公司网络上的亚马逊阿列克谢(Amazon ALEXA)等设备。无论影子信息技术采取什么形式，信息技术和安全部门都需要更公开地接受它。因为如果人们担心他们会因为违反公司政策而受到惩罚，他们永远不会告诉你他们在做什么。

改变公司的内部安全文化也意味着改变安全团队的思维方式。正如员工希望CSO成为优秀的沟通者和领导者一样，安全团队也需要跟进，既要吸引注意力，又要平易近人。

帕克说，在过去的十年里，他们没有做好让人们更容易理解安全的工作。他们很难用易于理解的语言来表达自己，如果不澄清基本的技术问题，就很难解释风险。

相反，他说关于安全的信息需要以更类似健康和安全警告的方式传达。很容易向其他人解释为什么没有个人防护设备就不应该爬梯子，因为后果是显而易见的。向其他人解释为什么他们应该使用SharePoint而不是Dropbox并不容易，因为在他们看来，如果没有保护措施，SharePoint将不会有与爬梯相同的效果。

我们需要真正投入并开展教育工作，以确保人们了解他们在做什么，以及如果他们丢失了一些文件或知识产权会发生什么，同时还要赋予他们权力。对具体问题的具体分析会带来很大的价值。

Parr一直与安全团队合作，改变他们的思维方式，让他们成为他们试图在公司建立的文化的代表和倡导者。

他们展示什么是好的，他们不断向我们的同事展示什么是好的。长期以来，信息安全一直被视为一盆冷水，倾泻在人们美好的思想上。但事实并非如此。我当然想帮助企业理解我们如何能够运作和进步，但我们必须安全可靠。