有效的网络安全并不存在于单一团队中,它贯穿于企业文化的整体。1、 网络安全不仅仅是IT部门的事而是整个企业的共同责任。2、 向员工传达安全的重要性,让员工了解安全与自身利益的关系。3、 建立一套可衡量、可管理的安全框架,并不断进行评估和改进。4、鼓励员工积极参与,营造人人都是安全卫士的氛围。
图源:Yuri Arcurs via Alamy Stock Photo
企业的文化由许多不同的东西定义:共享的组织价值观、领导者行为、团队互动方式。一家公司的文化可以成就或破坏其业务。日益增加的网络安全风险是企业文化所不能忽视的。网络钓鱼诈骗、Zero-day vulnerabilities(零日漏洞,又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。)、勒索软件。威胁行为者可以在其武器库中搜罗各种工具针对组织中的任何人,从高管到帮助台成员。
笔者与三家不同公司的安全领导者就如何在他们的组织中建立以安全为先的文化以及这对不同公司意味着什么进行了访谈。
一、认识障碍
文化是一个复杂的概念,不易建立和维护。网络安全领导者在确立安全作为核心文化价值时面临的最大障碍是什么?
首先,企业有很多优先事项:增加收入、营销产品和服务,支持客户和员工,当然,还有安全。虽然每个优先事项在维持业务中都分别起着重要作用,但它们可能在人才、时间和预算方面相互竞争。
身份管理和治理公司Ping Identity(是一家领先的智能身份安全公司。成立于2000年,总部位于美国科罗拉多州丹佛市,并在全球范围内设有办事处。公司专注于为企业提供身份认证和访问管理解决方案,帮助企业安全地管理数字身份,以保护其数字资产和用户数据。)的首席信息官John Cannava(约翰·卡纳瓦)问道:“您如何让组织将安全放在……与提高EBITDA(Earnings Before Interest, Taxes, Depreciation and Amortization,税息折旧及摊销前利润。是一种财务指标,用于衡量公司在扣除利息、税项、折旧及摊销之前的利润。其被广泛用于评估公司的经营业绩,尤其是在私人资本公司和投资机构中。)或试图最大化您的收入置于同等地位?”
这是一个很难回答的问题,尤其是当企业团队将安全视为绊脚石而非业务推动者时。通常,出于充分的理由,安全协议迫使人们放慢脚步。
董事会和治理软件公司Diligent(是一家专注于董事会管理和治理的软件公司,致力于为全球企业提供高效、安全的董事会解决方案。其通过其平台提供风险澄清模板、合规性、ESG等方面的工具,帮助董事会成员在会议前、会议中和会议后快速获取所需信息,从而减少数据解读时间,使决策更加自信。Diligent的解决方案集成了人工智能驱动的洞察力,能够在单一平台上处理各种治理、风险和合规管理任务,从而“设定了现代治理的标准”。)的高级副总裁兼首席信息安全官Monica Landen(莫妮卡·兰登)说:“一旦员工认为(安全控制)是一个需要克服的障碍,他们可能会寻找创造性的方法来绕过该安全控制。”
网络安全不能仅仅是安全和IT团队的责任,但这些团队领导有责任向组织中的每个人展示其价值。
软件和技术公司SAP(SAP公司,它是成立于1972年总部位于德国沃尔多夫市的全球最大的企业管理和协同化电子商务解决方案供应商、全球第三大独立软件供应商。在全球拥有6万多名员工,遍布全球130个国家,并拥有覆盖全球11,500家企业的合作伙伴网络。)的首席安全官Sebastian Lange(塞巴斯蒂安·兰格)说:“有一个持续的需求,不仅要制定正确的控制集,还要弄清楚在如此异构、庞大的环境中扩展这些控制的最佳方式。”
二、确定安全倡导者
确定正确的安全控制、在整个组织中扩展它们并将以安全为先的心态贯穿整个组织需要安全倡导者。通常,首席信息安全官和首席信息官承担这一角色,但担任这一角色的人会因组织的规模、结构和成熟度而异。在SAP,Lange(兰格)和该公司的全球安全合规与风险官Marielle Ehrmann(玛丽埃尔·埃尔曼)共同领导企业的全球安全和云合规。
SAP在全球拥有超过10万名员工。“SAP中的每个业务部门通常都有自己的架构独特性,有时甚至有自己的执行文化。您如何适应这种情况?”Lange(兰格)问道。
公司为每个业务部门都设有业务信息安全官。“他们负责特定业务线的安全实施。因此,在这个模式下,我们正在将我们的安全和合规策略扩展到每一个业务线,”Ehrmann(埃尔曼)解释说。
SAP还在整个企业中任命员工为安全倡导者,即同事们在日常工作中遇到安全问题时可以求助的人。“在业务的所有不同领域都有相当多的人被确定为安全倡导者,以帮助进一步提供具有专业知识以及对员工日常工作的背景和知识的人员。”Lange(兰格)说。
在Ping Identity,产品负责人在倡导安全举措方面发挥着重要作用。“我们将安全团队嵌入到我们的工程组织中,这样这些组织之间的互动就不会有很大摩擦,”Cannava(卡纳瓦)说,“他们是同一个团队的一部分,提供具有安全核心价值的解决方案。”
无论谁领导安全工作,都应该让公司中的每个人都能接触到,从董事会和高管层开始。“确保网络安全领导者……可见且易于接近,并真正在公司中以易于理解的术语设定清晰的组织优先事项,”Lange(兰格)说。
三、确保支持
任何倡导全企业安全的人都需要确保组织内每个人的支持。在高层层面,这意味着让首席执行官和董事会全力支持安全业务。
“归根结底,如果您没有首席执行官的支持,而首席执行官也没有……表达同样程度的优先级,那么这将被视为与……基本业务优先事项相比没那么重要,”Cannava(卡纳瓦)警告说。
有效的沟通是获得领导层支持的重要组成部分。安全领导如何向他们的董事会和其他高管解释,安全是一个重要的业务推动因素呢?
“其实就是[将技术语言或网络语言或行话]转换成……这一风险潜力将怎样影响收入、声誉或我们的合规性?”兰登说。
Tabletop exercises(也称为桌面演习,是一种通过模拟特定情境来测试和评估应急响应计划的方法。这种演习通常通过讨论、简报和模拟等方式进行,旨在提高组织在面对突发事件时的协调能力和问题解决能力。)不仅可以向高管网络告知安全的价值,还可以向他们展示。通过各种网络安全事件场景的演练,可以展示安全对运营和业务成果的重要联系。Ping Identity定期让多位高管团队成员参与这些演练。
“您不仅会知晓差距在哪,还可以通过实践学习……作为一个高管的一员,您被吸引进来并参与其中,现在您已投入其中,”他说,“所以,当您回到您的团队时,您可以与他们分享为什么这很重要。”
高管们可以并且应该谈论安全的重要性,但整个组织的员工都在忙于履行他们的日常职责。网络安全很容易被忽视。
这需要定期沟通,而不是作为入职培训的一部分进行一次性培训然后很快就被抛到脑后。Cannava(卡纳瓦)说:“我们发现向员工解释安全的‘为什么’以及它对公司整体成功或品牌意味着什么非常重要。”
解释那个“为什么”可以以教育的形式出现。例如,团队可以讨论现实生活中的网络安全事件及其后果,比如停机时间和收入损失。
安全领导者还可以帮助他们的企业采用各种方式使安全更具吸引力,而不是像一个打勾后就被遗忘的项目。“因此,我们有各种卓越奖项,而且我们也让它成为一个有趣的话题,比如通过夺旗比赛。所以,游戏化因素在这里起作用,”Ehrmann(埃尔曼)说。
四、建立强大、适应性强的文化
公司文化和安全战略并非一刀切。虽然不同的方法适用于不同的组织,但成功的以安全为先的文化有一些共同之处。安全措施需要在整个企业中都具有可操作性、可衡量性和可管理性才能有效。使用既定的框架,如National Institute of Standards and Technology/NIST(国内一般叫做“美国国家标准与技术研究院”。成立于1901年,原名美国国家标准局/NBS,1988年8月,经美国总统批准改为美国国家标准与技术研究院,直属于美国商务部。其是美国最古老的物理科学研究所之一。美国国会成立该机构旨在提升其工业竞争力,当时美国的测量基础设施处于二流水平,远远落后于英国、德国和其他经济竞争对手。经过一百多年的发展,NIST早已成为顶级研究机构,在国际上享有很高的声誉。其的测量范围无所不包,从智能电网、电子健康记录,到原子钟、先进纳米材料和计算机芯片,无数的产品和服务中都有NIST所提供的技术、测量和标准的身影。其下设6大研究所,从事物理、生物和工程等方面的基础和应用研究,以及测量技术和测试方法方面的研究,对外提供标准、标准参考数据及有关服务。)网络安全框架,可以帮助安全领导者建立和跟踪以安全为先的文化的成功。
技术和网络威胁都在不断变化,这意味着网络安全文化必须是可适应的。今天,安全领导者正在应对GenAI(生成式人工智能。是利用复杂的算法、模型和规则,从大规模数据集中学习,以创造新的原创内容的人工智能技术。这项技术能够创造文本、图片、声音、视频和代码等多种类型的内容,全面超越了传统软件的数据处理和分析能力。)的繁荣及其防御和助长恶意网络活动的力量。
Lange(兰格)说:“作为安全从业者,我们确实必须领先一步,确保我们在组织内采取了正确的政策和实践,这样我们就不会无意中暴露敏感数据或可能影响任何隐私政策。”
随着安全领导者努力确保以安全为先的文化跟上不断变化的技术和威胁时,他们需要与员工持续互动。每个员工是否都了解他们公司的网络安全风险以及明晰他们在减轻这些风险中的作用吗?他们是否知道有问题去哪里以及在哪里报告任何可疑情况?
Cannava(卡纳瓦)建议:“当涉及到报告安全事件或他们可能认为可疑的活动时,要将参与的门槛放得非常低,以便任何人都能够报告。”
强大的网络安全文化将安全与企业的总体目标联系起来,它存在于那里工作的人的日常行动中。
“这有点像游泳或骑自行车。当您有需要时,您应该知道怎么做。它需要自然而然地出现,”Ehrmann(埃尔曼)说,“您不能临时创建它。这需要时间、正确的领导,并且这涉及公司从监事会到执行董事会的各个层面,再到所有高级管理人员,一直到公司的每一位员工。”
作者:Carrie Pallardy(嘉莉·帕拉迪)
Carrie Pallardy(嘉莉·帕拉迪)是一位住在芝加哥的自由撰稿人和编辑。她在包括网络安全、医疗保健和个人理财等多个行业范围从事写作和编辑工作。
译者:宝蓝
【睿观: 网络安全是企业文化的核心组成部分。
网络安全是企业文化的核心组成部分。 它不仅关乎技术,更关乎组织的价值观、领导行为和员工的日常行动。
建立以安全为先的文化面临挑战。 安全往往与其他业务目标竞争资源,员工可能将其视为阻碍而非助力。
成功的关键在于领导力、沟通和员工参与。 安全领导者需要获得高层支持,并通过各种方式向员工传达安全的重要性。
网络安全文化需要不断适应。 随着技术和威胁的演变,安全措施也必须随之调整。
第二层:
建立安全文化面临的障碍
确定安全倡导者
确保高层支持
第三层:
具体做法:如嵌入式安全团队、安全倡导者计划、高管参与演练等。
沟通的重要性:向员工解释“为什么”安全重要。
文化的适应性:随着技术和威胁的变化,安全文化也需要不断调整。
亮点:
案例丰富: 通过对Ping Identity、Diligent和SAP等公司的访谈,提供了丰富的实践案例。
观点深入: 对于安全文化建立过程中遇到的挑战和解决方案进行了深入的探讨。
语言通俗易懂: 将复杂的技术概念转化为易于理解的语言,便于不同背景的人群理解。
不足:
缺乏量化数据: 虽然案例丰富,但缺少量化数据来支撑观点。
过于强调领导层的作用: 虽然领导层的作用不可忽视,但员工的主动性和参与度同样重要。
对企业管理者的启示:
将网络安全纳入企业战略: 网络安全不仅仅是IT部门的事,而是整个企业的共同责任。
加强沟通: 通过各种方式向员工传达安全的重要性,让员工了解安全与自身利益的关系。
培养安全文化: 建立一套可衡量、可管理的安全框架,并不断进行评估和改进。
关注员工参与: 鼓励员工积极参与到安全工作中来,营造人人都是安全卫士的氛围。】
本评分表旨在评估企业网络安全框架的成熟度和有效性,通过对框架的各个方面进行量化评估,明确改进方向,提升企业整体安全防护能力。
框架设计(30分):评估框架的设计是否科学合理,是否符合企业实际情况。
框架实施(30分):评估框架的实施情况,包括政策制定、人员培训、技术部署等。
框架效果评估(20分):评估框架在降低风险、提高安全意识等方面的效果。
持续改进(20分):评估框架的持续改进能力,包括适应新威胁、调整策略等。
1 | 框架设计 | 1.1 覆盖范围:是否覆盖了企业所有关键资产和业务流程? | 10% | 评估框架是否全面覆盖了企业面临的各种安全风险。 |
1.2 明确性:框架目标、范围、职责是否清晰明确? | 10% | 评估框架目标是否明确,各方是否理解自己的职责。 | ||
1.3 可操作性:框架的各项要求是否具有可操作性? | 10% | 评估框架的各项要求是否能够转化为具体的行动。 | ||
2 | 框架实施 | 2.1 政策制定:是否制定了全面的安全政策? | 10% | 评估安全政策的完整性和有效性。 |
2.2 人员培训:是否对员工进行了全面的安全培训? | 10% | 评估员工的安全意识和技能水平。 | ||
2.3 技术部署:是否部署了必要的安全技术和工具? | 10% | 评估安全技术的部署情况和有效性。 | ||
3 | 框架效果评估 | 3.1 风险降低:是否有效降低了企业面临的安全风险? | 10% | 评估框架在降低风险方面的效果。 |
3.2 安全事件响应:是否建立了有效的安全事件响应机制? | 5% | 评估对安全事件的响应速度和处理效果。 | ||
3.3 安全意识提升:是否提升了员工的安全意识? | 5% | 评估员工对安全重要性的认识。 | ||
4 | 持续改进 | 4.1 定期评估:是否定期对框架进行评估和调整? | 10% | 评估框架的动态调整能力。 |
4.2 适应性:是否能适应新的安全威胁和技术变化? | 10% | 评估框架的灵活性和适应性。 |
四、评分标准
5分: 非常优秀,全面实施并取得显著成效。
4分: 优秀,框架基本完善,但仍有部分改进空间。
3分: 良好,框架已初步建立,但存在一些不足。
2分: 一般,框架尚不完善,需要较大改进。
1分: 不合格,框架缺失或形同虚设。
综合评分 = 框架设计综合评分 × 30% + 框架实施综合评分 × 30% + 框架效果评估综合评分 × 20% + 持续改进综合评分 × 20%
