Mark Settle?Charles

如果IT部門沒有安全文化，那就不可能在現(xiàn)代企業(yè)中建立安全文化。IT部門應(yīng)該具有深入人心而且非常顯目的安全文化，能夠作為企業(yè)所有其他部門的標(biāo)桿。本文介紹IT領(lǐng)導(dǎo)們可以用來構(gòu)建此類文化的6條管理要訣。

很多企業(yè)都錯(cuò)誤地認(rèn)為——IT部門（或者其他部門）只要有一些網(wǎng)絡(luò)安全專家，就足以保護(hù)企業(yè)其他99%以上的員工，業(yè)務(wù)敏感或者對(duì)業(yè)務(wù)至關(guān)重要的信息也就不會(huì)被惡意的外部犯罪分子發(fā)現(xiàn)。不幸的是，很多IT部門都存在同樣的錯(cuò)誤認(rèn)識(shí)。95%以上的IT員工輕易地認(rèn)為，有了安全部門（可能只占IT員工總數(shù)的5%甚至更少），他們就不會(huì)惹上麻煩。這種認(rèn)識(shí)一再被證明是錯(cuò)誤的，但卻仍然存在。

在當(dāng)前安全意識(shí)普遍存在的時(shí)代，幾乎每家企業(yè)都有安全計(jì)劃。一項(xiàng)安全計(jì)劃包括由首席信息安全官或者高級(jí)安全主管制定的政策、實(shí)施政策的操作控制措施、實(shí)施控制措施的工作規(guī)則和程序、支持規(guī)則和程序的工具，并建立安全運(yùn)營(yíng)部門，使用工具來監(jiān)視規(guī)則和程序的執(zhí)行，審核控制措施的一致性和有效性。這聽起來很復(fù)雜，但是很多IT部門都能夠很好地理解一項(xiàng)成功的安全計(jì)劃的關(guān)鍵所在，并且很多企業(yè)已經(jīng)在某種程度上實(shí)現(xiàn)了。

然而，安全計(jì)劃和安全文化是兩回事。在安全文化中，員工對(duì)企業(yè)面臨的網(wǎng)絡(luò)安全威脅有著充分的了解。他們知道在其行業(yè)或者市場(chǎng)中存在的惡意行為者的動(dòng)機(jī)和意圖。通常會(huì)在例行業(yè)務(wù)會(huì)議上討論網(wǎng)絡(luò)安全問題和關(guān)注點(diǎn)，例如，季度業(yè)務(wù)審查、業(yè)務(wù)戰(zhàn)略研討、預(yù)算規(guī)劃會(huì)議、并購評(píng)估等。這不局限于定期召開的專門討論安全問題的會(huì)議，因?yàn)轭I(lǐng)導(dǎo)們和員工知道安全是日常業(yè)務(wù)工作不可分割的組成部分。工作于真正的安全文化環(huán)境中的員工在實(shí)施和加強(qiáng)安全防護(hù)方面發(fā)揮著積極的作用。

有些人可能會(huì)爭(zhēng)論說，不可能在分布于多個(gè)地理位置運(yùn)營(yíng)的大型、多元化企業(yè)中建立真正的安全文化，但有大量證據(jù)表明，情況恰恰相反。很多金融服務(wù)公司都高度重視風(fēng)險(xiǎn)管理，并已形成了有效的安全文化。依賴于使用內(nèi)部開發(fā)的知識(shí)產(chǎn)權(quán)的企業(yè)，例如制藥公司，對(duì)網(wǎng)絡(luò)安全也同樣非常謹(jǐn)慎。很多大型跨國(guó)公司都建立了深入人心而且非常顯目的安全文化。

IT部門應(yīng)該樹立榜樣

如果IT部門沒有安全文化，那就不可能在企業(yè)中建立安全文化。IT部門承擔(dān)著監(jiān)控大量惡意行為者操縱的路徑和流程的責(zé)任，為的是不讓這些犯罪分子在網(wǎng)絡(luò)安全防御中占上風(fēng)。如果整個(gè)IT部門不認(rèn)真對(duì)待自己的網(wǎng)絡(luò)安全職責(zé)，那么即使在整個(gè)企業(yè)中建立這樣一種文化又會(huì)有什么希望呢？

雖然IT部門不能僅憑一己之力建立全企業(yè)的安全文化，但它應(yīng)該樹立這樣的文化榜樣，便于其他職能部門學(xué)習(xí)。然而，這種情況很少發(fā)生。有太多的IT部門把安全職責(zé)委托給了由安全專業(yè)人員組成的小團(tuán)隊(duì)，而其他員工在很大程度上忽略了這些安全職責(zé)。安全部門之外的很多IT部門通常會(huì)拒絕或者忽視在現(xiàn)有技術(shù)堆棧和操作程序中插入更嚴(yán)格的保護(hù)措施的指示，甚至反對(duì)這類指示。而且，當(dāng)被要求協(xié)助解決與安全有關(guān)的審計(jì)問題或者對(duì)特定安全事件作出反應(yīng)時(shí)，個(gè)別工作人員會(huì)表現(xiàn)出沮喪或者漠不關(guān)心，這類情況并不少見。安全培訓(xùn)通常被認(rèn)為是在浪費(fèi)時(shí)間，嚴(yán)重妨礙了個(gè)人其他更緊迫的職責(zé)。

建設(shè)文化

IT領(lǐng)導(dǎo)們?cè)鯓釉谧约旱牟块T內(nèi)建立安全文化？這里列出了6條要訣，如果能一直貫徹執(zhí)行下去，必將有所收益。

1. 教育為上。讓員工了解對(duì)企業(yè)造成威脅的惡意行為者一般是什么身份。討論在其他擁有類似產(chǎn)品、服務(wù)、運(yùn)營(yíng)模式或者市場(chǎng)的企業(yè)內(nèi)出現(xiàn)過的泄露事件案例。確保他們了解惡意行為者以前滲透網(wǎng)絡(luò)防御并提取敏感信息所采用的主要方法。

2. 管理入手。建立網(wǎng)絡(luò)漏洞的優(yōu)先級(jí)列表，這通常被稱為風(fēng)險(xiǎn)登記。讓盡可能多的IT部門成員參與到列表工作中，添加項(xiàng)目并確定已知漏洞的優(yōu)先級(jí)。獎(jiǎng)勵(lì)和表彰那些對(duì)風(fēng)險(xiǎn)登記冊(cè)貢獻(xiàn)最多或者最有洞察力的個(gè)人，以此鼓勵(lì)其他人也做出貢獻(xiàn)。

3. 以身示范。我以前的一位同事常說：“只要是老板感興趣的事，都會(huì)讓我著迷?！比魏我幻I(lǐng)導(dǎo)如果每天至少一次自發(fā)地表現(xiàn)出對(duì)某些與安全相關(guān)的話題感興趣或者關(guān)注，那么他很快就會(huì)發(fā)現(xiàn)，其他領(lǐng)導(dǎo)和下屬也在做同樣的事情。這說明員工們從他們的領(lǐng)導(dǎo)那里得到了暗示——無論是有意識(shí)的還是下意識(shí)的。

4. 做好評(píng)估。每個(gè)人都熟悉管理大師彼得·德魯克的觀點(diǎn)，即，“評(píng)估過的東西才能管好”。其實(shí)很難設(shè)計(jì)好安全指標(biāo)。IT部門能集中精力在全企業(yè)實(shí)施安全防御措施，并保持其有效性。出于可理解的原因，很多企業(yè)不愿意大張旗鼓地宣傳其防御措施的有效性，如果不能與員工或者管理部門成員分享這些措施，那么這些指標(biāo)不太可能對(duì)行動(dòng)產(chǎn)生影響。

5. 區(qū)別對(duì)待。利用所有可能的機(jī)會(huì)，把員工在使用互聯(lián)網(wǎng)時(shí)遇到的安全問題與他們?cè)诠ぷ髦杏龅降陌踩珕栴}進(jìn)行類比。幫助你的部門成員了解被攻破的憑證、勒索軟件、cookies和其他網(wǎng)絡(luò)威脅怎樣影響他們的個(gè)人生活，這樣，他們?cè)诠ぷ鲌?chǎng)所使用互聯(lián)網(wǎng)時(shí)就會(huì)更加謹(jǐn)慎。

6. 要有處罰。理想情況下，我們只需要教育部門員工有關(guān)網(wǎng)絡(luò)威脅和防御的知識(shí)，他們的行為也會(huì)相應(yīng)地發(fā)生變化。然而，在實(shí)際工作環(huán)境中，不管是有意還是無意的違反政策、控制措施和操作程序時(shí)，都應(yīng)該受到處罰。當(dāng)業(yè)務(wù)結(jié)果受到損失時(shí)，員工必須接受個(gè)人處罰。他們必須知道安全控制措施是出于業(yè)務(wù)原因而制訂的，不遵守這些控制措施將產(chǎn)生后果。顯然應(yīng)根據(jù)錯(cuò)誤的嚴(yán)重程度對(duì)處罰進(jìn)行分級(jí)，如果沒有這樣的處罰，將不利于建立安全文化。

領(lǐng)導(dǎo)文化運(yùn)動(dòng)

沒有一個(gè)信息安全專業(yè)人員部門——不管他們有多聰明，資金有多充足，能夠憑一己之力保護(hù)企業(yè)不受日常所面對(duì)的各種黑客、犯罪分子和民族國(guó)家全方位的入侵。事實(shí)上，在任何情況下都不可能實(shí)現(xiàn)絕對(duì)的安全保證，但企業(yè)如果能夠建立一種安全意識(shí)文化，在這種文化中，每名員工都能了解他們面臨的風(fēng)險(xiǎn)，并完全遵守所采取的防御措施，那么成功的可能性就會(huì)大大增加。雖然很少有人會(huì)反對(duì)這一說法，但很多人都不知道從哪里開始。安全部門必須有安全文化，因?yàn)檫@是他們的工作。安全部門之外的IT專業(yè)人員應(yīng)全面接受這種文化，并積極地宣傳推廣。

當(dāng)倡議者能夠把漫不經(jīng)心的旁觀者轉(zhuǎn)變?yōu)榭煽康膮⑴c者時(shí)，革命就成功了。如果IT領(lǐng)導(dǎo)們能夠避免出現(xiàn)過于繁瑣的政策、控制措施和程序，并親自去實(shí)踐上面列出的要訣，那么他們就可以在IT部門成功地創(chuàng)建安全文化，為企業(yè)的其他部門樹立榜樣。IT領(lǐng)導(dǎo)們經(jīng)常哀嘆自己無法在企業(yè)里發(fā)揮更廣泛的領(lǐng)導(dǎo)作用，其實(shí)這就是他們的機(jī)會(huì)！

Mark Settle擔(dān)任過七屆首席信息官，在信息服務(wù)、企業(yè)軟件、消費(fèi)品、高科技分銷、金融服務(wù)和石油天然氣行業(yè)有著豐富的業(yè)務(wù)經(jīng)驗(yàn)。

原文網(wǎng)址

https：//www.cio.com/article/3411056/how-to-establish-a-security-culture-within-it.html