建立強(qiáng)大安全文化的四個建議

Yinzi
無論你是引導(dǎo)客戶走到會議室的前臺員工,或者你負(fù)責(zé)提供審計(jì),或者你在一個技術(shù)團(tuán)隊(duì)正在幫助客戶解決一個技術(shù)問題,語言是相通的,他們都能以同樣的方式理解信息安全。

為了數(shù)據(jù)安全,安全團(tuán)隊(duì)需要建立個人責(zé)任意識,而不是恐懼和互相指責(zé)。下面講述了兩位安全負(fù)責(zé)人是怎么做的。

安全團(tuán)隊(duì)無法保護(hù)他們看不到的東西。當(dāng)監(jiān)控工具越來越好時(shí),終端用戶和業(yè)務(wù)經(jīng)理需要告訴IT和安全團(tuán)隊(duì)他們在拿不同應(yīng)用程序上的數(shù)據(jù)做些什么,尤其是在出現(xiàn)問題的時(shí)候。

當(dāng)涉及到安全問題時(shí),在恐懼和互相指責(zé)的文化下,終端用戶不會告訴你他們是否在使用未經(jīng)批準(zhǔn)的應(yīng)用程序,是否點(diǎn)擊了惡意鏈接,或者是否看到了不尋常的活動,直到為時(shí)已晚。安全團(tuán)隊(duì)?wèi)?yīng)該幫助用戶建立個人責(zé)任意識,使他們能夠像對待健康和安全等其他公司政策一樣對待數(shù)據(jù)安全。

相互指責(zé)的文化加劇了安全問題

將人視為一個薄弱環(huán)節(jié),創(chuàng)造一個員工害怕因安全問題而受到懲罰的環(huán)境,不是一個經(jīng)營公司的好方法。然而,一些組織機(jī)構(gòu)采取極端措施來懲罰詐騙受害者。蘇格蘭一家媒體公司解雇并起訴了該公司的一名員工,原因是她卷入了一場網(wǎng)絡(luò)釣魚事件,并向冒充該公司總經(jīng)理要求其進(jìn)行付款的騙子支付了近 20 萬英鎊 (合 25 萬美元) 。Brian Krebs 最近發(fā)布了員工因未能通過網(wǎng)絡(luò)釣魚模擬測試而被解雇的例子。

這種相互指責(zé)的文化只會讓員工在出現(xiàn)問題時(shí)不愿意站出來…… 而這將數(shù)據(jù)置于風(fēng)險(xiǎn)之中。

畢馬威英國 (KPMG UK) 首席信息官M(fèi)ark Parr表示:

處理信息的人不可能是薄弱環(huán)節(jié)。我希望人們感到放松,如果他們犯了錯誤,他們可以告訴我。這一切都是為了建立信任,讓我的同事們感到我是真的在支持他們,而不是在事情出錯的時(shí)候指責(zé)他們的人。

為了幫助建立這種安全與員工之間的信任,畢馬威啟動了一項(xiàng)計(jì)劃,表彰那些提出公司內(nèi)部安全問題的員工。Parr 表示,自己希望發(fā)展這種文化,如果出現(xiàn)問題或發(fā)生了什么事,人們樂意告訴他們或向服務(wù)臺報(bào)告。畢馬威有一個內(nèi)部系統(tǒng)可以識別員工,其他員工也能看到。如果有人找到自己說,‘我注意到了這個,這有點(diǎn)問題,’那么 Parr 就會通知他們的直屬領(lǐng)導(dǎo)讓他站出來。

英國電商 The Hut Group (THG) 全球安全業(yè)務(wù)主管Graeme Park警告說,由于企業(yè)和個人系統(tǒng),應(yīng)用程序和設(shè)備之間的聯(lián)系——無論是否通過自帶設(shè)備 (Bring Your Own Device, BYOD),人們通過工作電腦查看個人郵件或者相反,或是出于商業(yè)目的使用個人 SaaS 賬戶——糟糕的個人安全意識是導(dǎo)致組織機(jī)構(gòu)被攻擊的另一個因素。這取決于企業(yè)將控制與教育相結(jié)合,而不是訴諸于恐嚇策略。這是再教育的一部分,讓安全平易近人,而不是對員工暴跳如雷。

Park 舉了一個例子,他認(rèn)為網(wǎng)絡(luò)代理經(jīng)常被 “大器小用”,一個更好的方法是記錄一切包括警告,如果用戶訪問了違反政策的網(wǎng)站,應(yīng)該要求他們提供為什么需要訪問該頁面的理由。

你在向他們傳授安全知識的同時(shí),也在進(jìn)行控制,讓他們思考并讓他們證明這一點(diǎn)。如果人們這樣做了,他們會有意識地思考他們所做的是否正確,是否安全,是否符合政策。他們也知道在那個階段是被審核的,所以這實(shí)際上會讓他們考慮的更多。這賦予了他們更多的權(quán)力。

良好的安全文化是什么樣的

如果互相指責(zé)的文化不好,那么良好的安全文化應(yīng)該是什么樣的呢?畢馬威的 Parr 表示:良好的安全文化應(yīng)該是,人們本能地理解與日?;顒酉嚓P(guān)的風(fēng)險(xiǎn),知道并有信心能夠減輕或處理這種風(fēng)險(xiǎn)。我們必須摒棄 “一切都很好,CISO會為我們處理好一切” 的想法。

以下是 Parr 和 Park 認(rèn)為首席信息安全官們?yōu)榻⒁粋€強(qiáng)大的安全文化需要努力的四個關(guān)鍵方面。

1. 讓安全易于理解

自從 Parr 成為首席信息安全官一年多前,畢馬威英國一直在改變其公司內(nèi)部安全文化和教育方法的進(jìn)程中,確保該公司在 27 個不同地方的 16000 名英國員工能夠達(dá)到一致的安全意識水平。Parr 表示:良好的(文化)是指人們對信息安全感到自信和舒適,而不覺得這是一門科學(xué)或一個魔法。

建立安全意識文化的一個關(guān)鍵是使其與受眾產(chǎn)生共鳴,因此畢馬威的安全教育內(nèi)容已被盡可能用通俗易懂的語言來表達(dá),并精心設(shè)計(jì)了適用于員工的場景。Parr表示,他想讓人們像對待工作上的信息安全一樣對待家庭信息安全,通過設(shè)定真實(shí)的場景,給人們明確的方向是關(guān)鍵。

無論你是引導(dǎo)客戶走到會議室的前臺員工,或者你負(fù)責(zé)提供審計(jì),或者你在一個技術(shù)團(tuán)隊(duì)正在幫助客戶解決一個技術(shù)問題,語言是相通的,他們都能以同樣的方式理解信息安全。

讓人們了解這些基礎(chǔ)知識會讓終端用戶更容易理解,反過來他們也會更認(rèn)真地對待企業(yè)的信息安全,因?yàn)樗麄兿胂蟮贸龇稿e的后果。Parr 表示,責(zé)任感是成功的關(guān)鍵。如果人們覺得自己明白為什么要對數(shù)據(jù)的處理和管理負(fù)責(zé),那么事情就成功了一半。

2. 提供持續(xù)的意識訓(xùn)練

作為這種文化變革的一部分,畢馬威已經(jīng)從實(shí)時(shí)演示和評估轉(zhuǎn)向?yàn)?Parr 所描述的通過活動、培訓(xùn)、視頻和播客的 “一種持續(xù)的意識訓(xùn)練”。 看著 PPT 上的幻燈片,盡可能快地瀏覽一遍,最后回答20個問題并希望你能通過考試,這并不能向我證明什么。這只是顯示了你從幻燈片中獲取信息的能力。讓人們明白有一些規(guī)則和指導(dǎo)是可用的,知道他們能做什么,不能做什么,以及他們應(yīng)該扮演什么角色。

Parr 首先發(fā)布了一份非常簡單易懂的政策文件。這份文件被濃縮成一頁紙的標(biāo)題,以便在人們有時(shí)間閱讀的時(shí)候抓住他們的注意力。然后發(fā)展成一個他們在上班的火車上可能會看的三分鐘短視頻。這是為了保持活動的節(jié)奏,這樣人們就會一直被提醒。

雖然評估這種文化帶來的影響可能很困難,但 Parr 與公司的學(xué)習(xí)和發(fā)展團(tuán)隊(duì)合作,圍繞公司有多少名員工在收聽播客、觀看視頻和參與到團(tuán)隊(duì)正在制作的其他安全教育中,創(chuàng)建了參與度指標(biāo)。這些指標(biāo)可以用來衡量安全教育材料是否能引起員工的共鳴。

我還需要不斷思考與員工互動的新方式。不僅要讓他們認(rèn)清安全現(xiàn)實(shí),還要讓他們更多地參與到我想實(shí)現(xiàn)的目標(biāo)中來。

為了讓更多的人參與到安全教育中,組織機(jī)構(gòu)的領(lǐng)導(dǎo)層會定期發(fā)送信息鼓勵人們觀看、閱讀和聆聽安全材料。“業(yè)務(wù)信息安全人員” 作為信息安全主題方面的專家,負(fù)責(zé)生產(chǎn)活動。他們鼓勵員工更直接地參與其中。

3. 在影子IT問題上與員工合作

指責(zé)員工使用未經(jīng)批準(zhǔn)的應(yīng)用程序 (稱為影子 IT),與因安全問題而解雇他們一樣,都是不明智的行為。影子IT問題長期以來一直存在。 它背后的驅(qū)動因素實(shí)際上是IT系統(tǒng)的廣泛存在;無論是軟件還是硬件,無論是在家里還是在其他任何地方。

Park 認(rèn)為,人們并不壞,他們沒有試圖利用影子 IT 來故意規(guī)避公司政策或公司安全措施。一般情況下,他們只是想更好,更快,更輕松地完成工作做。這對 IT 和安全工作來說是一種失?。籌T 和安全部門可以從攔路虎變成推動者,確保人們擁有完成工作所需的工具。

Park 表示,影子 IT 可以是 SaaS 服務(wù)或未經(jīng)批準(zhǔn)的桌面應(yīng)用程序,到他所說的 “更小但有同樣影響力的影子IT們”,比如集成到 Slack 或 JIRA、瀏覽器擴(kuò)展,甚至是公司網(wǎng)絡(luò)上類似亞馬遜 ALEXA 的設(shè)備。無論影子 IT 以何種形式出現(xiàn),IT 和安全部門都需要更開放地接受它。因?yàn)槿绻藗儞?dān)心違反公司政策會受到懲罰,他們永遠(yuǎn)不會告訴你他們在做什么。

我們需要更明智地對待這個問題。不管怎樣,它總會發(fā)生。如果使用這些外部工具帶來風(fēng)險(xiǎn)是有限的——比方說,有人想用一個設(shè)計(jì)工具來做品牌和圖形,而這些內(nèi)容并非特別機(jī)密——那么在這樣的情況下風(fēng)險(xiǎn)很小。你需要給人們一定程度的靈活性。

4. 展示什么是好的

改變公司內(nèi)部的安全文化也意味著安全團(tuán)隊(duì)思維方式的改變。正如員工希望 CSO 成為一個優(yōu)秀的溝通者和領(lǐng)導(dǎo)者一樣,安全團(tuán)隊(duì)也需要跟進(jìn),既要引人注目,又要平易近人。

Park 表示,在過去的十年里,他們并沒有做好工作讓人們更容易理解安全性。他們很難用通俗易懂的語言來表達(dá),很難在不闡明根本技術(shù)問題的情況下解釋風(fēng)險(xiǎn)。

相反,他說關(guān)于安全問題需要以一種更類似于健康和安全警告的方式傳達(dá)信息。向別人解釋為什么他們不應(yīng)該在沒有個人防護(hù)裝備的情況下爬梯子是很容易的,因?yàn)楹蠊@而易見。向別人解釋為什么他們應(yīng)該使用 SharePoint,而不能使用 Dropbox 不容易是因?yàn)樵谒麄兛磥恚琒harePoint 不會產(chǎn)生像爬梯子沒有防護(hù)措施那樣的影響。

我們需要真正投入并進(jìn)行教育工作,確保人們了解自己在做什么,明白如果他們弄丟了某些文件或知識產(chǎn)權(quán)會發(fā)生什么,但也要賦予他們權(quán)力。具體問題具體分析會帶來巨大的價(jià)值。

Parr 一直在與安全團(tuán)隊(duì)合作,改變他們的思維方式,讓他們成為自己試圖在公司中建立的文化的代表和擁護(hù)者。

他們展示了什么的是好的,他們也在不斷地向我們的同事展示什么是好的。在很長一段時(shí)間里,信息安全一直被看作是一盆澆在人們美妙主意上的一盆冷水。但并不是那樣的。我絕對是為了幫助企業(yè)了解我們?nèi)绾尾拍苓\(yùn)轉(zhuǎn)和進(jìn)步,但要做到安全穩(wěn)妥。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論