有效的網(wǎng)絡(luò)安全并不存在于單一團(tuán)隊(duì)中��,它貫穿于企業(yè)文化的整體����。1、 網(wǎng)絡(luò)安全不僅僅是IT部門的事而是整個(gè)企業(yè)的共同責(zé)任���。2�、 向員工傳達(dá)安全的重要性�,讓員工了解安全與自身利益的關(guān)系。3�����、 建立一套可衡量、可管理的安全框架��,并不斷進(jìn)行評(píng)估和改進(jìn)����。4、鼓勵(lì)員工積極參與�,營(yíng)造人人都是安全衛(wèi)士的氛圍。
圖源:Yuri Arcurs via Alamy Stock Photo
企業(yè)的文化由許多不同的東西定義:共享的組織價(jià)值觀�����、領(lǐng)導(dǎo)者行為��、團(tuán)隊(duì)互動(dòng)方式����。一家公司的文化可以成就或破壞其業(yè)務(wù)�。日益增加的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是企業(yè)文化所不能忽視的。網(wǎng)絡(luò)釣魚詐騙�、Zero-day vulnerabilities(零日漏洞,又叫零時(shí)差攻擊���,是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞���。通俗地講�����,即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)����,相關(guān)的惡意程序就出現(xiàn)�。這種攻擊往往具有很大的突發(fā)性與破壞性。)���、勒索軟件�����。威脅行為者可以在其武器庫中搜羅各種工具針對(duì)組織中的任何人��,從高管到幫助臺(tái)成員����。
筆者與三家不同公司的安全領(lǐng)導(dǎo)者就如何在他們的組織中建立以安全為先的文化以及這對(duì)不同公司意味著什么進(jìn)行了訪談��。
一、認(rèn)識(shí)障礙
文化是一個(gè)復(fù)雜的概念��,不易建立和維護(hù)����。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者在確立安全作為核心文化價(jià)值時(shí)面臨的最大障礙是什么?
首先���,企業(yè)有很多優(yōu)先事項(xiàng):增加收入���、營(yíng)銷產(chǎn)品和服務(wù),支持客戶和員工�,當(dāng)然,還有安全���。雖然每個(gè)優(yōu)先事項(xiàng)在維持業(yè)務(wù)中都分別起著重要作用,但它們可能在人才����、時(shí)間和預(yù)算方面相互競(jìng)爭(zhēng)。
身份管理和治理公司Ping Identity(是一家領(lǐng)先的智能身份安全公司�。成立于2000年,總部位于美國(guó)科羅拉多州丹佛市�����,并在全球范圍內(nèi)設(shè)有辦事處。公司專注于為企業(yè)提供身份認(rèn)證和訪問管理解決方案����,幫助企業(yè)安全地管理數(shù)字身份,以保護(hù)其數(shù)字資產(chǎn)和用戶數(shù)據(jù)����。)的首席信息官John Cannava(約翰·卡納瓦)問道:“您如何讓組織將安全放在……與提高EBITDA(Earnings Before Interest, Taxes, Depreciation and Amortization,稅息折舊及攤銷前利潤(rùn)�����。是一種財(cái)務(wù)指標(biāo)���,用于衡量公司在扣除利息��、稅項(xiàng)��、折舊及攤銷之前的利潤(rùn)�。其被廣泛用于評(píng)估公司的經(jīng)營(yíng)業(yè)績(jī)���,尤其是在私人資本公司和投資機(jī)構(gòu)中����。)或試圖最大化您的收入置于同等地位?”
這是一個(gè)很難回答的問題�����,尤其是當(dāng)企業(yè)團(tuán)隊(duì)將安全視為絆腳石而非業(yè)務(wù)推動(dòng)者時(shí)��。通常����,出于充分的理由,安全協(xié)議迫使人們放慢腳步�。
董事會(huì)和治理軟件公司Diligent(是一家專注于董事會(huì)管理和治理的軟件公司,致力于為全球企業(yè)提供高效����、安全的董事會(huì)解決方案。其通過其平臺(tái)提供風(fēng)險(xiǎn)澄清模板���、合規(guī)性、ESG等方面的工具�,幫助董事會(huì)成員在會(huì)議前、會(huì)議中和會(huì)議后快速獲取所需信息�,從而減少數(shù)據(jù)解讀時(shí)間�����,使決策更加自信�。Diligent的解決方案集成了人工智能驅(qū)動(dòng)的洞察力�����,能夠在單一平臺(tái)上處理各種治理��、風(fēng)險(xiǎn)和合規(guī)管理任務(wù)��,從而“設(shè)定了現(xiàn)代治理的標(biāo)準(zhǔn)”��。)的高級(jí)副總裁兼首席信息安全官M(fèi)onica Landen(莫妮卡·蘭登)說:“一旦員工認(rèn)為(安全控制)是一個(gè)需要克服的障礙���,他們可能會(huì)尋找創(chuàng)造性的方法來繞過該安全控制���。”
網(wǎng)絡(luò)安全不能僅僅是安全和IT團(tuán)隊(duì)的責(zé)任�����,但這些團(tuán)隊(duì)領(lǐng)導(dǎo)有責(zé)任向組織中的每個(gè)人展示其價(jià)值。
軟件和技術(shù)公司SAP(SAP公司�,它是成立于1972年總部位于德國(guó)沃爾多夫市的全球最大的企業(yè)管理和協(xié)同化電子商務(wù)解決方案供應(yīng)商、全球第三大獨(dú)立軟件供應(yīng)商�����。在全球擁有6萬多名員工�����,遍布全球130個(gè)國(guó)家���,并擁有覆蓋全球11,500家企業(yè)的合作伙伴網(wǎng)絡(luò)���。)的首席安全官Sebastian Lange(塞巴斯蒂安·蘭格)說:“有一個(gè)持續(xù)的需求,不僅要制定正確的控制集�����,還要弄清楚在如此異構(gòu)���、龐大的環(huán)境中擴(kuò)展這些控制的最佳方式�����。”
二�、確定安全倡導(dǎo)者
確定正確的安全控制��、在整個(gè)組織中擴(kuò)展它們并將以安全為先的心態(tài)貫穿整個(gè)組織需要安全倡導(dǎo)者��。通常����,首席信息安全官和首席信息官承擔(dān)這一角色,但擔(dān)任這一角色的人會(huì)因組織的規(guī)模�、結(jié)構(gòu)和成熟度而異。在SAP�����,Lange(蘭格)和該公司的全球安全合規(guī)與風(fēng)險(xiǎn)官M(fèi)arielle Ehrmann(瑪麗埃爾·埃爾曼)共同領(lǐng)導(dǎo)企業(yè)的全球安全和云合規(guī)�����。
SAP在全球擁有超過10萬名員工�����?!癝AP中的每個(gè)業(yè)務(wù)部門通常都有自己的架構(gòu)獨(dú)特性����,有時(shí)甚至有自己的執(zhí)行文化���。您如何適應(yīng)這種情況���?”Lange(蘭格)問道。
公司為每個(gè)業(yè)務(wù)部門都設(shè)有業(yè)務(wù)信息安全官��?��!八麄冐?fù)責(zé)特定業(yè)務(wù)線的安全實(shí)施��。因此�����,在這個(gè)模式下��,我們正在將我們的安全和合規(guī)策略擴(kuò)展到每一個(gè)業(yè)務(wù)線�����,”Ehrmann(埃爾曼)解釋說�。
SAP還在整個(gè)企業(yè)中任命員工為安全倡導(dǎo)者,即同事們?cè)谌粘9ぷ髦杏龅桨踩珕栴}時(shí)可以求助的人���?�!?/span>在業(yè)務(wù)的所有不同領(lǐng)域都有相當(dāng)多的人被確定為安全倡導(dǎo)者,以幫助進(jìn)一步提供具有專業(yè)知識(shí)以及對(duì)員工日常工作的背景和知識(shí)的人員�����?����!盠ange(蘭格)說�����。
在Ping Identity����,產(chǎn)品負(fù)責(zé)人在倡導(dǎo)安全舉措方面發(fā)揮著重要作用?��!拔覀儗踩珗F(tuán)隊(duì)嵌入到我們的工程組織中�����,這樣這些組織之間的互動(dòng)就不會(huì)有很大摩擦�����,”Cannava(卡納瓦)說�,“他們是同一個(gè)團(tuán)隊(duì)的一部分,提供具有安全核心價(jià)值的解決方案���。”
無論誰領(lǐng)導(dǎo)安全工作�����,都應(yīng)該讓公司中的每個(gè)人都能接觸到�,從董事會(huì)和高管層開始��?!按_保網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者……可見且易于接近,并真正在公司中以易于理解的術(shù)語設(shè)定清晰的組織優(yōu)先事項(xiàng)��,”Lange(蘭格)說�。
三、確保支持
任何倡導(dǎo)全企業(yè)安全的人都需要確保組織內(nèi)每個(gè)人的支持���。在高層層面�����,這意味著讓首席執(zhí)行官和董事會(huì)全力支持安全業(yè)務(wù)��。
“歸根結(jié)底����,如果您沒有首席執(zhí)行官的支持���,而首席執(zhí)行官也沒有……表達(dá)同樣程度的優(yōu)先級(jí)��,那么這將被視為與……基本業(yè)務(wù)優(yōu)先事項(xiàng)相比沒那么重要���,”Cannava(卡納瓦)警告說。
有效的溝通是獲得領(lǐng)導(dǎo)層支持的重要組成部分����。安全領(lǐng)導(dǎo)如何向他們的董事會(huì)和其他高管解釋,安全是一個(gè)重要的業(yè)務(wù)推動(dòng)因素呢���?
“其實(shí)就是[將技術(shù)語言或網(wǎng)絡(luò)語言或行話]轉(zhuǎn)換成……這一風(fēng)險(xiǎn)潛力將怎樣影響收入����、聲譽(yù)或我們的合規(guī)性?”蘭登說����。
Tabletop exercises(也稱為桌面演習(xí),是一種通過模擬特定情境來測(cè)試和評(píng)估應(yīng)急響應(yīng)計(jì)劃的方法���。這種演習(xí)通常通過討論����、簡(jiǎn)報(bào)和模擬等方式進(jìn)行�,旨在提高組織在面對(duì)突發(fā)事件時(shí)的協(xié)調(diào)能力和問題解決能力。?)不僅可以向高管網(wǎng)絡(luò)告知安全的價(jià)值��,還可以向他們展示����。通過各種網(wǎng)絡(luò)安全事件場(chǎng)景的演練,可以展示安全對(duì)運(yùn)營(yíng)和業(yè)務(wù)成果的重要聯(lián)系���。Ping Identity定期讓多位高管團(tuán)隊(duì)成員參與這些演練�。
“您不僅會(huì)知曉差距在哪,還可以通過實(shí)踐學(xué)習(xí)……作為一個(gè)高管的一員�����,您被吸引進(jìn)來并參與其中�,現(xiàn)在您已投入其中,”他說���,“所以����,當(dāng)您回到您的團(tuán)隊(duì)時(shí)����,您可以與他們分享為什么這很重要����。”
高管們可以并且應(yīng)該談?wù)摪踩闹匾?����,但整個(gè)組織的員工都在忙于履行他們的日常職責(zé)���。網(wǎng)絡(luò)安全很容易被忽視��。
這需要定期溝通�,而不是作為入職培訓(xùn)的一部分進(jìn)行一次性培訓(xùn)然后很快就被拋到腦后。Cannava(卡納瓦)說:“我們發(fā)現(xiàn)向員工解釋安全的‘為什么’以及它對(duì)公司整體成功或品牌意味著什么非常重要��?����!?/span>
解釋那個(gè)“為什么”可以以教育的形式出現(xiàn)�。例如,團(tuán)隊(duì)可以討論現(xiàn)實(shí)生活中的網(wǎng)絡(luò)安全事件及其后果����,比如停機(jī)時(shí)間和收入損失。
安全領(lǐng)導(dǎo)者還可以幫助他們的企業(yè)采用各種方式使安全更具吸引力���,而不是像一個(gè)打勾后就被遺忘的項(xiàng)目�。“因此��,我們有各種卓越獎(jiǎng)項(xiàng)��,而且我們也讓它成為一個(gè)有趣的話題����,比如通過奪旗比賽�。所以�����,游戲化因素在這里起作用�,”Ehrmann(埃爾曼)說。
四��、建立強(qiáng)大�����、適應(yīng)性強(qiáng)的文化
公司文化和安全戰(zhàn)略并非一刀切���。雖然不同的方法適用于不同的組織�����,但成功的以安全為先的文化有一些共同之處。安全措施需要在整個(gè)企業(yè)中都具有可操作性�、可衡量性和可管理性才能有效。使用既定的框架���,如National Institute of Standards and Technology/NIST(國(guó)內(nèi)一般叫做“美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院”���。成立于1901年���,原名美國(guó)國(guó)家標(biāo)準(zhǔn)局/NBS,1988年8月��,經(jīng)美國(guó)總統(tǒng)批準(zhǔn)改為美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院�����,直屬于美國(guó)商務(wù)部�����。其是美國(guó)最古老的物理科學(xué)研究所之一�����。美國(guó)國(guó)會(huì)成立該機(jī)構(gòu)旨在提升其工業(yè)競(jìng)爭(zhēng)力�����,當(dāng)時(shí)美國(guó)的測(cè)量基礎(chǔ)設(shè)施處于二流水平�,遠(yuǎn)遠(yuǎn)落后于英國(guó)�����、德國(guó)和其他經(jīng)濟(jì)競(jìng)爭(zhēng)對(duì)手���。經(jīng)過一百多年的發(fā)展,NIST早已成為頂級(jí)研究機(jī)構(gòu)���,在國(guó)際上享有很高的聲譽(yù)���。其的測(cè)量范圍無所不包,從智能電網(wǎng)�、電子健康記錄,到原子鐘�����、先進(jìn)納米材料和計(jì)算機(jī)芯片���,無數(shù)的產(chǎn)品和服務(wù)中都有NIST所提供的技術(shù)�、測(cè)量和標(biāo)準(zhǔn)的身影���。其下設(shè)6大研究所�,從事物理�、生物和工程等方面的基礎(chǔ)和應(yīng)用研究,以及測(cè)量技術(shù)和測(cè)試方法方面的研究����,對(duì)外提供標(biāo)準(zhǔn)、標(biāo)準(zhǔn)參考數(shù)據(jù)及有關(guān)服務(wù)��。)網(wǎng)絡(luò)安全框架�,可以幫助安全領(lǐng)導(dǎo)者建立和跟蹤以安全為先的文化的成功。
技術(shù)和網(wǎng)絡(luò)威脅都在不斷變化����,這意味著網(wǎng)絡(luò)安全文化必須是可適應(yīng)的。今天�����,安全領(lǐng)導(dǎo)者正在應(yīng)對(duì)GenAI(生成式人工智能����。是利用復(fù)雜的算法、模型和規(guī)則�����,從大規(guī)模數(shù)據(jù)集中學(xué)習(xí),以創(chuàng)造新的原創(chuàng)內(nèi)容的人工智能技術(shù)����。這項(xiàng)技術(shù)能夠創(chuàng)造文本、圖片���、聲音����、視頻和代碼等多種類型的內(nèi)容���,全面超越了傳統(tǒng)軟件的數(shù)據(jù)處理和分析能力����。)的繁榮及其防御和助長(zhǎng)惡意網(wǎng)絡(luò)活動(dòng)的力量����。
Lange(蘭格)說:“作為安全從業(yè)者,我們確實(shí)必須領(lǐng)先一步�����,確保我們?cè)诮M織內(nèi)采取了正確的政策和實(shí)踐����,這樣我們就不會(huì)無意中暴露敏感數(shù)據(jù)或可能影響任何隱私政策?!?/span>
隨著安全領(lǐng)導(dǎo)者努力確保以安全為先的文化跟上不斷變化的技術(shù)和威脅時(shí),他們需要與員工持續(xù)互動(dòng)��。每個(gè)員工是否都了解他們公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及明晰他們?cè)跍p輕這些風(fēng)險(xiǎn)中的作用嗎��?他們是否知道有問題去哪里以及在哪里報(bào)告任何可疑情況�?
Cannava(卡納瓦)建議:“當(dāng)涉及到報(bào)告安全事件或他們可能認(rèn)為可疑的活動(dòng)時(shí),要將參與的門檻放得非常低���,以便任何人都能夠報(bào)告��?���!?/span>
強(qiáng)大的網(wǎng)絡(luò)安全文化將安全與企業(yè)的總體目標(biāo)聯(lián)系起來�����,它存在于那里工作的人的日常行動(dòng)中�����。
“這有點(diǎn)像游泳或騎自行車。當(dāng)您有需要時(shí)���,您應(yīng)該知道怎么做���。它需要自然而然地出現(xiàn),”Ehrmann(埃爾曼)說��,“您不能臨時(shí)創(chuàng)建它�。這需要時(shí)間、正確的領(lǐng)導(dǎo)��,并且這涉及公司從監(jiān)事會(huì)到執(zhí)行董事會(huì)的各個(gè)層面���,再到所有高級(jí)管理人員���,一直到公司的每一位員工。”
作者:Carrie Pallardy(嘉莉·帕拉迪)
Carrie Pallardy(嘉莉·帕拉迪)是一位住在芝加哥的自由撰稿人和編輯�����。她在包括網(wǎng)絡(luò)安全���、醫(yī)療保健和個(gè)人理財(cái)?shù)榷鄠€(gè)行業(yè)范圍從事寫作和編輯工作����。
譯者:寶藍(lán)
【睿觀:?網(wǎng)絡(luò)安全是企業(yè)文化的核心組成部分。
網(wǎng)絡(luò)安全是企業(yè)文化的核心組成部分���。?它不僅關(guān)乎技術(shù),更關(guān)乎組織的價(jià)值觀�、領(lǐng)導(dǎo)行為和員工的日常行動(dòng)。
建立以安全為先的文化面臨挑戰(zhàn)�。?安全往往與其他業(yè)務(wù)目標(biāo)競(jìng)爭(zhēng)資源,員工可能將其視為阻礙而非助力�。
成功的關(guān)鍵在于領(lǐng)導(dǎo)力、溝通和員工參與���。?安全領(lǐng)導(dǎo)者需要獲得高層支持��,并通過各種方式向員工傳達(dá)安全的重要性����。
網(wǎng)絡(luò)安全文化需要不斷適應(yīng)�。?隨著技術(shù)和威脅的演變,安全措施也必須隨之調(diào)整���。
第二層:
建立安全文化面臨的障礙
確定安全倡導(dǎo)者
確保高層支持
第三層:
亮點(diǎn):
案例豐富:?通過對(duì)Ping Identity����、Diligent和SAP等公司的訪談,提供了豐富的實(shí)踐案例����。
觀點(diǎn)深入:?對(duì)于安全文化建立過程中遇到的挑戰(zhàn)和解決方案進(jìn)行了深入的探討。
語言通俗易懂:?將復(fù)雜的技術(shù)概念轉(zhuǎn)化為易于理解的語言�,便于不同背景的人群理解。
不足:
對(duì)企業(yè)管理者的啟示:
將網(wǎng)絡(luò)安全納入企業(yè)戰(zhàn)略:?網(wǎng)絡(luò)安全不僅僅是IT部門的事,而是整個(gè)企業(yè)的共同責(zé)任�����。
加強(qiáng)溝通:?通過各種方式向員工傳達(dá)安全的重要性����,讓員工了解安全與自身利益的關(guān)系����。
培養(yǎng)安全文化:?建立一套可衡量�����、可管理的安全框架,并不斷進(jìn)行評(píng)估和改進(jìn)��。
關(guān)注員工參與:?鼓勵(lì)員工積極參與到安全工作中來��,營(yíng)造人人都是安全衛(wèi)士的氛圍�?��!?/span>
附件1:可衡量����、可管理的安全框架綜合評(píng)價(jià)表(100分)
一、框架概述
本評(píng)分表旨在評(píng)估企業(yè)網(wǎng)絡(luò)安全框架的成熟度和有效性,通過對(duì)框架的各個(gè)方面進(jìn)行量化評(píng)估�����,明確改進(jìn)方向,提升企業(yè)整體安全防護(hù)能力��。
二�����、一級(jí)指標(biāo)及權(quán)重
框架設(shè)計(jì)(30分):評(píng)估框架的設(shè)計(jì)是否科學(xué)合理�����,是否符合企業(yè)實(shí)際情況����。
框架實(shí)施(30分):評(píng)估框架的實(shí)施情況,包括政策制定�����、人員培訓(xùn)、技術(shù)部署等��。
框架效果評(píng)估(20分):評(píng)估框架在降低風(fēng)險(xiǎn)����、提高安全意識(shí)等方面的效果�。
持續(xù)改進(jìn)(20分):評(píng)估框架的持續(xù)改進(jìn)能力,包括適應(yīng)新威脅��、調(diào)整策略等。
三�����、二級(jí)指標(biāo)����、權(quán)重及指標(biāo)說明
序號(hào)
二級(jí)指標(biāo)
三級(jí)指標(biāo)
權(quán)重
指標(biāo)說明
|
|
|
|
|
1 | 框架設(shè)計(jì) | 1.1 覆蓋范圍:是否覆蓋了企業(yè)所有關(guān)鍵資產(chǎn)和業(yè)務(wù)流程���? | 10% | 評(píng)估框架是否全面覆蓋了企業(yè)面臨的各種安全風(fēng)險(xiǎn)�。 |
|
| 1.2 明確性:框架目標(biāo)、范圍����、職責(zé)是否清晰明確���? | 10% | 評(píng)估框架目標(biāo)是否明確,各方是否理解自己的職責(zé)��。 |
|
| 1.3 可操作性:框架的各項(xiàng)要求是否具有可操作性��? | 10% | 評(píng)估框架的各項(xiàng)要求是否能夠轉(zhuǎn)化為具體的行動(dòng)。 |
2 | 框架實(shí)施 | 2.1 政策制定:是否制定了全面的安全政策? | 10% | 評(píng)估安全政策的完整性和有效性。 |
|
| 2.2 人員培訓(xùn):是否對(duì)員工進(jìn)行了全面的安全培訓(xùn)����? | 10% | 評(píng)估員工的安全意識(shí)和技能水平。 |
|
| 2.3 技術(shù)部署:是否部署了必要的安全技術(shù)和工具? | 10% | 評(píng)估安全技術(shù)的部署情況和有效性���。 |
3 | 框架效果評(píng)估 | 3.1 風(fēng)險(xiǎn)降低:是否有效降低了企業(yè)面臨的安全風(fēng)險(xiǎn)�����? | 10% | 評(píng)估框架在降低風(fēng)險(xiǎn)方面的效果���。 |
|
| 3.2 安全事件響應(yīng):是否建立了有效的安全事件響應(yīng)機(jī)制�? | 5% | 評(píng)估對(duì)安全事件的響應(yīng)速度和處理效果。 |
|
| 3.3 安全意識(shí)提升:是否提升了員工的安全意識(shí)��? | 5% | 評(píng)估員工對(duì)安全重要性的認(rèn)識(shí)���。 |
4 | 持續(xù)改進(jìn) | 4.1 定期評(píng)估:是否定期對(duì)框架進(jìn)行評(píng)估和調(diào)整? | 10% | 評(píng)估框架的動(dòng)態(tài)調(diào)整能力�����。 |
|
| 4.2 適應(yīng)性:是否能適應(yīng)新的安全威脅和技術(shù)變化���? | 10% | 評(píng)估框架的靈活性和適應(yīng)性。 |
四��、評(píng)分標(biāo)準(zhǔn)
5分:?非常優(yōu)秀����,全面實(shí)施并取得顯著成效�。
4分:?優(yōu)秀,框架基本完善����,但仍有部分改進(jìn)空間��。
3分:?良好�����,框架已初步建立,但存在一些不足���。
2分:?一般����,框架尚不完善����,需要較大改進(jìn)���。
1分:?不合格���,框架缺失或形同虛設(shè)。
五����、綜合評(píng)分計(jì)算
綜合評(píng)分 = 框架設(shè)計(jì)綜合評(píng)分 × 30% + 框架實(shí)施綜合評(píng)分 × 30% + 框架效果評(píng)估綜合評(píng)分 × 20% + 持續(xù)改進(jìn)綜合評(píng)分 × 20%
