建立强大安全文化的四个建议

为了数据安详，安详团队必要成立小我私人责恣意识，而不是惊骇和相互指责。下面报告了两位安详认真人是怎么做的。

安详团队无法掩护他们看不到的对象。当监控器材越来越好时，终端用户和营业司理必要汇报IT和安详团队他们在拿差异应用措施上的数据做些什么，尤其是在呈现题目的时辰。

当涉及到安详题目时，在惊骇和相互指责的文化下，终端用户不会汇报你他们是否在行使未经核准的应用措施，是否点击了恶意链接，可能是否看到了不通俗的勾当，直到为时已晚。安详团队应该辅佐用户成立小我私人责恣意识，使他们可以或许像看待康健和安详等其他公司政策一样看待数据安详。

彼此指责的文化加剧了安详题目

将人视为一个单薄环节，缔造一个员工畏惧因安详题目而受处处罚的情形，不是一个策划公司的好要领。然而，一些组织机构采纳极度法子来处罚诈骗受害者。苏格兰一家媒体公司开除并告状了该公司的一名员工，缘故起因是她卷入了一场收集垂纶变乱，并向假充该公司总司理要求其举办付款的骗子付出了近 20 万英镑 (合 25 万美元) 。Brian Krebs 最近宣布了员工因未能通过收集垂纶模仿测试而被开除的例子。

这种彼此指责的文化只会让员工在呈现题目时不肯意站出来…… 而这将数据置于风险之中。

毕马威英国 (KPMG UK) 首席信息官Mark Parr暗示：

为了辅佐成立这种安详与员工之间的信赖，毕马威启动了一项打算，表扬那些提出公司内部安详题目的员工。Parr 暗示，本身但愿成长这种文化，假如呈现题目或产生了什么事，人们愿意汇报他们或向处事台陈诉。毕马威有一个内部体系可以辨认员工，其他员工也能看到。假若有人找到本身说，‘我留意到了这个，这有点题目，’那么 Parr 就会关照他们的直属率领让他站出来。

英国电商 The Hut Group (THG) 环球安详营业主管Graeme Park告诫说，因为企业和小我私人体系，应用措施和装备之间的接洽——无论是否通过自带装备 (Bring Your Own Device, BYOD)，人们通过事变电脑查察小我私人邮件可能相反，或是出于贸易目标行使小我私人 SaaS 账户——糟糕的小我私纪獠详意识是导致组织机构被进攻的另一个身分。这取决于企业将节制与教诲相团结，而不是诉诸于恫吓计策。这是再教诲的一部门，让安详夷易近人，而不是对员工老羞成怒。

Park 举了一个例子，他以为收集署理常常被 “大器小用”，一个更好的要领是记录统统包罗告诫，假如用户会见了违背政策的网站，应该要求他们提供为什么必要会见该页面的来由。

精采的安详文化是什么样的

假如相互指责的文化欠好，那么精采的安详文化应该是什么样的呢?毕马威的 Parr 暗示：精采的安详文化应该是，人们本能地领略与一般勾当相干的风险，知道并有信念可以或许减轻或处理赏罚这种风险。我们必需摒弃 “统统都很好，CISO会为我们处理赏罚好统统” 的设法。

以下是 Parr 和 Park 以为首席信息安详官们为成立一个强盛的安详文化必要全力的四个要害方面。

1. 让安详易于领略

自从 Parr 成为首席信息安详官一年多前，毕马威英国一向在改变其公司内部安详文化和教诲要领的历程中，确保该公司在 27 个差异处所的 16000 名英国员工可以或许到达同等的安详意识程度。Parr 暗示：精采的(文化)是指人们对信息安详感想自信和舒服，而不认为这是一门科学或一个邪术。

成立安详意识文化的一个要害是使其与受众发生共识，因此毕马威的安详教诲内容已被尽也许用普通易懂的说话来表达，并全心计划了合用于员工的场景。Parr暗示，他想让人们像看待事变上的信息安详一样看待家庭信息安详，通过设定真实的场景，给人们明晰的偏向是要害。

让人们相识这些基本常识会让终端用户更轻易领略，反过来他们也会更当真地看待企业的信息安详，由于他们想象得出失足的效果。Parr 暗示，责任感是乐成的要害。假如人们认为本身大白为什么要对数据的处理赏罚和打点认真，那么工作就乐成了一半。

2. 提供一连的意识实习

作为这种文化厘革的一部门，毕马威已经从及时演示和评估转向为 Parr 所描写的通度日动、培训、视频和播客的 “一种一连的意识实习”。 看着 PPT 上的幻灯片，尽也许快地赏识一遍，最后答复20个题目并但愿你能通过测验，这并不能向我证明什么。这只是表现了你从幻灯片中获守信息的手段。让人们大白有一些法则和指导是可用的，知道他们能做什么，不能做什么，以及他们应该饰演什么脚色。

Parr 起首宣布了一份很是简朴易懂的政策文件。这份文件被浓缩成一页纸的问题，以便在人们偶然刻阅读的时辰抓住他们的留意力。然后成长成一个他们在上班的火车上也许会看的三分钟短视频。这是为了保持勾当的节拍，这样人们就会一向被提示。

固然评估这种文化带来的影响也许很坚苦，但 Parr 与公司的进修和成长团队相助，环绕公司有几多名员工在收听播客、寓目视频和参加到团队正在建造的其他安详教诲中，建设了参加度指标。这些指标可以用来权衡安详教诲原料是否能引起员工的共识。

为了让更多的人参加到安详教诲中，组织机构的率领层会按期发送信息勉励人们寓目、阅读和凝听安详原料。“营业信息安详职员” 作为信息安详主题方面的专家，认真出产勾当。他们勉励员工更直接地参加个中。

3. 在影子IT题目上与员工相助

指责员工行使未经核准的应用措施 (称为影子 IT)，与因安详题目而开除他们一样，都是不明智的举动。影子IT题目恒久以来一向存在。 它背后的驱动身分现实上是IT体系的普及存在;无论是软件照旧硬件，无论是在家里照旧在其他任那里所。

Park 以为，人们并不坏，他们没有试图操作影子 IT 来存心规避公司政策或公司安详法子。一样平常环境下，他们只是想更好，更快，更轻松地完成事变做。这对 IT 和安详事变来说是一种失败;IT 和安详部分可以从拦路虎酿成敦促者，确保人们拥有完成事变所需的器材。

Park 暗示，影子 IT 可所以 SaaS 处事或未经核准的桌面应用措施，到他所说的 “更小但有同样影响力的影子IT们”，好比集成到 Slack 或 JIRA、赏识器扩展，乃至是公司收集上相同亚马逊 ALEXA 的装备。无论影子 IT 以何种情势呈现，IT 和安详部分都必要更开放地接管它。由于假如人们担忧违背公司政策会受处处罚，他们永久不会汇报你他们在做什么。

4. 展示什么是好的

改变公司内部的安详文化也意味着安详团队思想方法的改变。正如员工但愿 CSO 成为一个优越的雷同者和率领者一样，安详团队也必要跟进，既要引人注目，又要夷易近人。

Park 暗示，在已往的十年里，他们并没有做功德情让人们更轻易领略安详性。他们很难用普通易懂的说话来表达，很难在不阐发基础技能题目的环境下表明风险。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!