在这个时代,无论大小的公司都很容易受到他们每天都会面临的潜在攻击。从内部威胁到简单的网络钓鱼,人们总是在猜测他们是否有足够的知识来应对这些威胁,或者是否做好了面对风险的准备。教育你的员工基本计算机卫生这是一回事,但在他们身上根深蒂固的安全实践是另一回事,这些安全实践几乎是自然而然的,甚至超出了办公室的范围。后者包括成为一种文化的一部分,在这种文化中,人们以同样的方式思考、行动和行为。我们谈论的不仅仅是一种有机文化,而是一种以意图为核心的文化。

在进一步之前,让我们首先找出为什么我们创造和培养有意的安全文化很重要。我们还将命名围绕安全文化的一些误解,并试图清除每个人。

为什么需要安全文化

虽然它主要是关于物理安全的,但工作场所中的安全文化始终存在,虽然是物理安全。该办公室的大面积为公众禁止,只有接入卡或适当的公司识别的人可以进出。不是每个人都有人力资源档案柜的关键。当计算机在商业世界推出时,管理人员和高管之间共享的机密文件仅供他们的眼睛(并且仍然是)。

从那时起,情况发生了巨大的变化。企业保持其资产的物理防御,但难以抵御来自数字领域的威胁。现在组织需要保护他们的在线资产,但犯罪分子已经擅长规避基本保护。尽管如此,人们对安全的负面看法——这是反动的,它阻碍了人们方便地完成他们的工作——在今天依然存在。这种消极性是进一步建立和维持安全文化的主要障碍。

拥有强大的安全文化是很重要的,因为安全是战略上的必需,无论是保护客户的数据,还是建立关系并向其他业务客户提供服务。因此,信任是必不可少的。没有足够的安全在一个组织中,与公司一起业务的人会令人怀疑和不确定,他们的资产是以重视和最大的机密对待。(说明如何Equifax股票急剧下降他们的巨大缺口被发现后。)

另一方面,一家公司充分安全与没有这种优势的竞争对手相比具有优势。当数据和资产受到保护时,信任就会增加。

最后,具备安全文化可以更容易地遵守法律和法规。当监管者开始实施安全实践时,坦率地说,这些安全实践本应出现在公司中,首先,具有安全思维的组织更容易接受这些实践,并将它们吸收到当前的文化中。

读:为GDPR提供方法:您的业务准备好了吗?

对安全文化的误解

安全文化对不同的人有不同的含义。就像我们努力理解的任何概念一样,在这个过程中也存在着对它们的误解。如果听之任之,这些误解可能会持续存在,被传递下去,或者(更糟糕的是)长期被视为事实。我们已经在下面确认并揭穿了其中一些人。

  • 这种文化的目标是最大限度地提高安全。我们大多数人都认为,为了提高安全性,公司必须使用所有可供使用的安全工具。同样,这可能适用于处理被认为敏感和有价值的信息的组织,但并不适用于所有公司。文化旨在优化安全性。这意味着最有效地利用他们可用的资源。
  • 拥有安全文化,将停止违规死亡。不幸的是,这不是保证。人们,甚至是漂亮的意思,犯错误。通常,这些错误可以花费大公司。安全文化不会创造完美的安全性;但是,它为实现最佳安全性铺平了道路。如果没有人们在工作场所的人们支持这个概念,那就无法完成。
  • 安全文化是责任。相反,该组织的每个成员都对其安全负责,包括它使用的资产,流程和股份。每个人都扮演一部分,没有人被豁免。它可以解决所有技术检查和余额来抵御攻击,但如果用户无意识地点击网络钓鱼电子邮件,那就是游戏。虽然有些人可能仍然可以选择忽略文化和政策,但这一点没有让它更有效。
  • 安全文化必须从顶层开始。对高级管理层来说,不只是说说而已,而且还要走下去,这是一个绝妙的想法,但文化不一定要从高层开始。it所需要的是有足够的人致力于继续培养符合组织目标并与其他文化良好融合的良好安全实践。这就是为什么这些忠诚的人被称为冠军.

培育网络安全文化的实际步骤

1.认识到在负灯中看到安全性; 因此,有必要帮助其他人认识到它实际上是公司计划的积极推动者。这对于处理大量敏感个人身份信息的行业(如银行、医院和情报机构)的公司尤其如此。的确,当一个人想到安全性(或缺乏安全性)时,我们经常想到防止欺诈、违规和黑客攻击。然而,信任、一致性、可靠性、生产率和可预测性也是我们可以与安全性联系在一起的术语。冠军们应该把它框起来。

2.评估组织安全文化的现状。就像我们早些时候说过,安全的文化一直存在。但是文化是否好或坏是另一个问题。公司内部安全冠军必须发现差距,然后弄清楚如何桥接它们。

3.为安全文化创造积极品牌。冠军可以在这方面寻求市场营销的帮助。想一想员工可能喜欢的一件事(Cat视频?户外活动?太空堡垒卡拉狄加?),并使用它向组织传达统一的信息。然后,为了进一步发展品牌,根据每个部门的安全优势定制信息。品牌宣传可以通过内部备忘录、时事通讯、屏幕保护图案,甚至员工无论走到哪里都可以看到的海报进行传播。

4.开展宣传活动,教育想成为冠军的人。这是Twist:说,介绍了关于黑客和网络钓鱼的统计数据,不要在错误的脚上开始。相反,冠军应该教育同龄人,他们的特定角色是什么,以及他们如何对公司的资源(例如,信息)负责。如果一个人不知道如何履行他/她的责任,可能需要进一步的教育。

5.奖励那些支持安全文化的人。这也应该包括决策者,使他们在考虑GO信号之前,考虑信息和其他有价值的企业资产的安全性。尽管有些人寻求金钱上的激励,但许多人并不这样做。至少,冠军(和公司)在看到一个好结果时,必须基于安全意识来识别和归因于一个好结果。

哦,还有一件事

我们相信并经常重复“人是最薄弱的一环”这句格言,即安全问题存在于主席和班长之间。可悲的是,这种消极的观念已经影响到我们如何继续感知和回应同事们的点击行为链接到那些在一个简单的问题上寻求支持的客户,甚至是那些不像我们这样精通技术的年轻和年长的家庭成员。培育安全文化的目的之一不是把他们当作最薄弱的环节,而是让人们认识到他们是我们的只要链接到安全性。一个集体理解,安全应该为人民和组织工作,而不是另外一切,是我们所有目标和努力实现的东西。

其他有关职位: