Mark Settle?Charles

如果IT部門沒有安全文化，那就不可能在現(xiàn)代企業(yè)中建立安全文化。IT部門應(yīng)該具有深入人心而且非常顯目的安全文化，能夠作為企業(yè)所有其他部門的標桿。本文介紹IT領(lǐng)導們可以用來構(gòu)建此類文化的6條管理要訣。

很多企業(yè)都錯誤地認為——IT部門（或者其他部門）只要有一些網(wǎng)絡(luò)安全專家，就足以保護企業(yè)其他99%以上的員工，業(yè)務(wù)敏感或者對業(yè)務(wù)至關(guān)重要的信息也就不會被惡意的外部犯罪分子發(fā)現(xiàn)。不幸的是，很多IT部門都存在同樣的錯誤認識。95%以上的IT員工輕易地認為，有了安全部門（可能只占IT員工總數(shù)的5%甚至更少），他們就不會惹上麻煩。這種認識一再被證明是錯誤的，但卻仍然存在。

在當前安全意識普遍存在的時代，幾乎每家企業(yè)都有安全計劃。一項安全計劃包括由首席信息安全官或者高級安全主管制定的政策、實施政策的操作控制措施、實施控制措施的工作規(guī)則和程序、支持規(guī)則和程序的工具，并建立安全運營部門，使用工具來監(jiān)視規(guī)則和程序的執(zhí)行，審核控制措施的一致性和有效性。這聽起來很復雜，但是很多IT部門都能夠很好地理解一項成功的安全計劃的關(guān)鍵所在，并且很多企業(yè)已經(jīng)在某種程度上實現(xiàn)了。

然而，安全計劃和安全文化是兩回事。在安全文化中，員工對企業(yè)面臨的網(wǎng)絡(luò)安全威脅有著充分的了解。他們知道在其行業(yè)或者市場中存在的惡意行為者的動機和意圖。通常會在例行業(yè)務(wù)會議上討論網(wǎng)絡(luò)安全問題和關(guān)注點，例如，季度業(yè)務(wù)審查、業(yè)務(wù)戰(zhàn)略研討、預算規(guī)劃會議、并購評估等。這不局限于定期召開的專門討論安全問題的會議，因為領(lǐng)導們和員工知道安全是日常業(yè)務(wù)工作不可分割的組成部分。工作于真正的安全文化環(huán)境中的員工在實施和加強安全防護方面發(fā)揮著積極的作用。

有些人可能會爭論說，不可能在分布于多個地理位置運營的大型、多元化企業(yè)中建立真正的安全文化，但有大量證據(jù)表明，情況恰恰相反。很多金融服務(wù)公司都高度重視風險管理，并已形成了有效的安全文化。依賴于使用內(nèi)部開發(fā)的知識產(chǎn)權(quán)的企業(yè)，例如制藥公司，對網(wǎng)絡(luò)安全也同樣非常謹慎。很多大型跨國公司都建立了深入人心而且非常顯目的安全文化。

IT部門應(yīng)該樹立榜樣

如果IT部門沒有安全文化，那就不可能在企業(yè)中建立安全文化。IT部門承擔著監(jiān)控大量惡意行為者操縱的路徑和流程的責任，為的是不讓這些犯罪分子在網(wǎng)絡(luò)安全防御中占上風。如果整個IT部門不認真對待自己的網(wǎng)絡(luò)安全職責，那么即使在整個企業(yè)中建立這樣一種文化又會有什么希望呢？

雖然IT部門不能僅憑一己之力建立全企業(yè)的安全文化，但它應(yīng)該樹立這樣的文化榜樣，便于其他職能部門學習。然而，這種情況很少發(fā)生。有太多的IT部門把安全職責委托給了由安全專業(yè)人員組成的小團隊，而其他員工在很大程度上忽略了這些安全職責。安全部門之外的很多IT部門通常會拒絕或者忽視在現(xiàn)有技術(shù)堆棧和操作程序中插入更嚴格的保護措施的指示，甚至反對這類指示。而且，當被要求協(xié)助解決與安全有關(guān)的審計問題或者對特定安全事件作出反應(yīng)時，個別工作人員會表現(xiàn)出沮喪或者漠不關(guān)心，這類情況并不少見。安全培訓通常被認為是在浪費時間，嚴重妨礙了個人其他更緊迫的職責。

建設(shè)文化

IT領(lǐng)導們怎樣在自己的部門內(nèi)建立安全文化？這里列出了6條要訣，如果能一直貫徹執(zhí)行下去，必將有所收益。

1. 教育為上。讓員工了解對企業(yè)造成威脅的惡意行為者一般是什么身份。討論在其他擁有類似產(chǎn)品、服務(wù)、運營模式或者市場的企業(yè)內(nèi)出現(xiàn)過的泄露事件案例。確保他們了解惡意行為者以前滲透網(wǎng)絡(luò)防御并提取敏感信息所采用的主要方法。

2. 管理入手。建立網(wǎng)絡(luò)漏洞的優(yōu)先級列表，這通常被稱為風險登記。讓盡可能多的IT部門成員參與到列表工作中，添加項目并確定已知漏洞的優(yōu)先級。獎勵和表彰那些對風險登記冊貢獻最多或者最有洞察力的個人，以此鼓勵其他人也做出貢獻。

3. 以身示范。我以前的一位同事常說：“只要是老板感興趣的事，都會讓我著迷?！比魏我幻I(lǐng)導如果每天至少一次自發(fā)地表現(xiàn)出對某些與安全相關(guān)的話題感興趣或者關(guān)注，那么他很快就會發(fā)現(xiàn)，其他領(lǐng)導和下屬也在做同樣的事情。這說明員工們從他們的領(lǐng)導那里得到了暗示——無論是有意識的還是下意識的。

4. 做好評估。每個人都熟悉管理大師彼得·德魯克的觀點，即，“評估過的東西才能管好”。其實很難設(shè)計好安全指標。IT部門能集中精力在全企業(yè)實施安全防御措施，并保持其有效性。出于可理解的原因，很多企業(yè)不愿意大張旗鼓地宣傳其防御措施的有效性，如果不能與員工或者管理部門成員分享這些措施，那么這些指標不太可能對行動產(chǎn)生影響。

5. 區(qū)別對待。利用所有可能的機會，把員工在使用互聯(lián)網(wǎng)時遇到的安全問題與他們在工作中遇到的安全問題進行類比。幫助你的部門成員了解被攻破的憑證、勒索軟件、cookies和其他網(wǎng)絡(luò)威脅怎樣影響他們的個人生活，這樣，他們在工作場所使用互聯(lián)網(wǎng)時就會更加謹慎。

6. 要有處罰。理想情況下，我們只需要教育部門員工有關(guān)網(wǎng)絡(luò)威脅和防御的知識，他們的行為也會相應(yīng)地發(fā)生變化。然而，在實際工作環(huán)境中，不管是有意還是無意的違反政策、控制措施和操作程序時，都應(yīng)該受到處罰。當業(yè)務(wù)結(jié)果受到損失時，員工必須接受個人處罰。他們必須知道安全控制措施是出于業(yè)務(wù)原因而制訂的，不遵守這些控制措施將產(chǎn)生后果。顯然應(yīng)根據(jù)錯誤的嚴重程度對處罰進行分級，如果沒有這樣的處罰，將不利于建立安全文化。

領(lǐng)導文化運動

沒有一個信息安全專業(yè)人員部門——不管他們有多聰明，資金有多充足，能夠憑一己之力保護企業(yè)不受日常所面對的各種黑客、犯罪分子和民族國家全方位的入侵。事實上，在任何情況下都不可能實現(xiàn)絕對的安全保證，但企業(yè)如果能夠建立一種安全意識文化，在這種文化中，每名員工都能了解他們面臨的風險，并完全遵守所采取的防御措施，那么成功的可能性就會大大增加。雖然很少有人會反對這一說法，但很多人都不知道從哪里開始。安全部門必須有安全文化，因為這是他們的工作。安全部門之外的IT專業(yè)人員應(yīng)全面接受這種文化，并積極地宣傳推廣。

當倡議者能夠把漫不經(jīng)心的旁觀者轉(zhuǎn)變?yōu)榭煽康膮⑴c者時，革命就成功了。如果IT領(lǐng)導們能夠避免出現(xiàn)過于繁瑣的政策、控制措施和程序，并親自去實踐上面列出的要訣，那么他們就可以在IT部門成功地創(chuàng)建安全文化，為企業(yè)的其他部門樹立榜樣。IT領(lǐng)導們經(jīng)常哀嘆自己無法在企業(yè)里發(fā)揮更廣泛的領(lǐng)導作用，其實這就是他們的機會！

Mark Settle擔任過七屆首席信息官，在信息服務(wù)、企業(yè)軟件、消費品、高科技分銷、金融服務(wù)和石油天然氣行業(yè)有著豐富的業(yè)務(wù)經(jīng)驗。

原文網(wǎng)址

https：//www.cio.com/article/3411056/how-to-establish-a-security-culture-within-it.html