來自ISACA研究所的《2018年網絡安全文化報告》指出,95%的全球受訪者認為他們當前的網絡安全文化建設與期望的最終狀態存在巨大差距,在網絡安全領域的資源投入需要優先考慮網絡安全文化的培訓和體系構建,同時還要建立年度網絡安全文化評估以提高員工意識。
對于一個組織而言,每一個活生生的人才是網絡安全態勢戰略管理的核心。然而,大多數網絡安全防御體系的構建還是基于傳統的戰爭模式,核心理念是確保所有邊界的安全,御敵于外。ISACA研究所的安全專家指出,傳統理念在迅速變異的網絡犯罪形式和手段面前早已不堪一擊,傳統的網絡安全長城已經千瘡百孔。
來自世界經濟論壇的分析師表示,想要成功應對激增的網絡攻擊,協調一致的團隊努力是必要條件。在商業環境中,高績效團隊的特征是公開交流、信任、合作和清晰的責任劃分。對于網絡安全這一塊也是一樣的,企業從上至下能夠拿出積極的態度和持之以恒的行動,效果遠遠比國家層面通過技術打擊或通過警方介入好得多。
但是并非每個組織、每家企業都能建立這樣的工作文化,讓安全意識和行為無縫融入到到每個人的日常工作中。ISACA研究所就是在這樣的背景下進行了一次全球范圍內的網絡安全文化調查,力求探明能夠做到這一點的組織有哪些文化特征和做法,如何管理和維護數字資產、網絡、知識產權、雇員的行為。
網絡安全文化的特征
在企業的數字化轉型中,員工對于數據的獲取、流轉、處理等日常操作構成了一個組織的“網絡文化”的一部分。要審視企業的網絡安全文化,需要深入研究個人信仰、刻板印象和習慣等因素,這些內容可為分析整個企業的安全相關行為提供信息基礎。除了與信息技術有關的安全措施外,這些數據還能體現出一個組織的風險框架。
什么是有效的網絡安全文化?
研究顯示,成功的網絡安全文化需要員工具備以下特質:
清楚了解保障終端安全需要做什么;
能夠參與常規的安全培訓;
積極嘗試網絡安全項目規定的操作方法和習慣。
如果全體員工都能具備以上特質,企業能夠獲得以下好處:
能夠看到潛在的風險點;
減少網絡安全事件的發生;
在遭到網絡攻擊后能夠快速恢復業務;
開展全新業務的能力大大增強;
客戶對于其品牌的信任度不斷上升。
本次調查得到的數據顯示,只有5%的受訪者認為,他們當前的網絡安全文化建設符合預期,也就是,高達95%的受訪者認為,員工不具備或者僅具備以上特質中的幾項,網絡安全文化建設的現實和理想狀態間存在嚴重的脫節,企業運營、品牌忠誠度和競爭優勢等方面均已看到負面影響。
雖然受訪者或多或少都認識到了這一差距,但他們不知道該怎么做,最關鍵的問題是缺乏一個有凝聚力的管理計劃,一個全員投入的抓手。《2018年網絡安全文化報告》為網絡安全管理和轉型能力比較薄弱的企業提供一個可以操作的路線圖,均是從成功實踐的企業身上得出的共性。
方法一:健康的網絡安全文化的標志
參與這項全球研究的4815名受訪者中,近90%的認為建立一種更強大的網絡安全文化可提高企業的業務拓展能力和生存能力:網絡安全不再僅僅是成本中心該管的事了,而是一個企業業務的推動力。
標志一、良性循環
在企業內部,雇員明確了解自己的角色和責任后可形成一種良性循環。當網絡攻擊發生時,企業能夠以非常靈活的方式進行響應,通過動態的防御手段加快業務恢復。清晰的架構能夠加強各部門之間的交互和理解,實現網絡安全保障方案的全面協調,在法律法規不斷變化的情況下快速合規,或者在新技術、新戰略推出時能夠更快地落地。
標志二、明確KPI
在尚未建立有效網絡安全文化的組織中,缺乏明確的管理計劃或關鍵績效指標是一個共同的特點。員工并不覺得維護網絡安全與自己的利益存在多大關聯,導致企業更容易暴露在數據泄露、商業機會流失、客戶忠誠度下降、監管機構處罰等風險之中。
組織需要建立KPI以實現用于行為追蹤和改進的衡量基準和手段,然后根據KPI制定政策,將風險意識轉化為員工的日常行為,構建有意識的安全文化。
方法二:全民參與
高層管理者從各個角度的推動非常關鍵,受訪者中只有58%表示有全盤的網絡安全文化管理計劃和政策,絕大多認為是CISO(60%)或CIO(47%)責任,只有6%的受訪者邀請人力資源部門介入以全面推動計劃的實現。
成功的溝通往往是雙向的,通常從傾聽員工的想法開始。 大約46%的組織在過去一年內采取過措施來評估員工對組織的網絡安全文化或指導方針的看法或理解。專家表示,員工對網絡安全的假設或印象對于形成對個人責任的理解至關重要。
如何構建有組織、有紀律的網絡安全文化
構建一個跨團隊的核心網絡安全文化團隊可喚起全民參與的熱情,可以這么做:
1. 高級管理層將網絡安全添加到董事會的常設議題中,確保始終有充足的資源支持計劃推進,并在安全問題和業務目標不一致時解決沖突。
2. 信息安全教育業務部門研究和推廣最有效的安全流程。
3. IT部門負責維護基礎設施和最新技術的部署,并收集網絡安全分析數據。
4. 人力資源部分通過培訓、研討會等形式了解員工對于自身責任、安全流程和操作規范的理解。
5. 法務部提供有關國際和國家法規的快速反饋,推進公司上下行為準測的合規。
6. 市場/內部協調部門提供技能支持,通過內部渠道、電子郵件、提示列表、海報、網絡研討會和公司內部網絡來教育員工和推動政策落地。
跨部門的網絡安全團隊可以快速推進網絡安全試點計劃和培訓,有助于信息共享、分析以及調整未來的計劃。
方法三:贏得員工和管理層的支持
在企業內部成功營造網絡安全文化,與全體員工和管理層的支持密不可分。根據ISACA研究所的調查,近半數成績斐然的組織采取的一項關鍵做法就是每年衡量和評估員工的意見。結果表明,在這方面企業還存在很多提到的空間:34%的受訪者認為他們的員工清楚了解在貫徹組織所需的網絡安全文化方面的作用; 47%的受訪者表示他們的員工只是“有點”了解它; 19%的受訪者認為他們的員工根本沒有概念或不理解。
那么該如何獲得自上而下的全面支持?
網絡安全專家Ross提出了一些溝通機制的建議:
1. 在新員工的入職流程中加入安全協議內容。
2. 在部署新硬件或進行軟件升級后,每哥季度為員工提供額外培訓。
3. 根據個人認識、技術難度或部門風險態勢制定安全培訓。舉個例子,財務部門在面對個人數據時該怎么做。
4. 通過小組活動和個別指導深入推進安全培訓。
5. 選擇積極提問并提供反饋的監察員。
6. 選取網絡攻擊相關新聞來來討論當前的網絡安全態勢。
7. 建立聯絡點并進行模擬演練,讓員工在實際的網絡攻擊中掌握方法和技能。
方法四:制定相應的基準測試
業務目標和相應的基準測試是任何戰略計劃的基本要素。對于網絡安全文化計劃而言,組織應考慮先行記錄員工的行為、合規性和參與網絡安全風險預防的態度來構建一個基準,然后努力幫助改進。根據調查結果,有近三分之一的企業雖然制定了目標或KPI,但是沒有制定員工針對網絡安全文化的理解程度的基準測試。通過基準測試,組織還可以衡量員工在日常運營中是否能夠遵循指南或主動報告可疑電子郵件、行為或事件。這些信息可以作為相關培訓的出發點或者是針對性的干預措施。
將IT轉型作為制定測試的抓手
網絡安全專家Grindstaff建議將網絡安全規則融入到員工的設備申請和軟件更新流程中。 網絡安全團隊可以借助后續電子郵件來推進網絡安全文化,比如員工在進行如下操作時:
1. 更新密碼或使用新的加密方式。
2. 在工作場所攜帶或要求使用個人設備,如筆記本電腦、平板電腦、手機和USB驅動器。
3. 開始涉及到共享、存儲、下載或傳輸數據的新工作職責時。
4. 登錄VPN或未知網絡時。
方法五:組織培訓,提供實踐渠道
網絡犯罪的形態正在迅速變異,主要原因是社會生活方式的變化。比如喜歡在社交媒體上公開個人信息或使用不安全設備(BYOD)的員工,往往會被作為網絡攻擊的切入點,通過他們的渠道安裝未經批準的軟件或者提供憑證盜竊的新途徑等。企業網絡安全團隊必須將培養員工意識作為重點方向。
調查顯示,近四成的組織已經加強了以風險意識、隱私政策和數據保護為主的培訓。 但是,依然有半數組織處于網絡社區或社交媒體互動帶來的潛在威脅之中。實際上,上述培訓還遠遠不夠。例如,調查結果中83%的員工培訓計劃是在線(基于計算機的培訓)而不是通過實踐或面對面培訓進行的。
使用一些被動約束制度是有用的。 例如,通過人工方式提示員工進行密碼更新,將合規性要求嵌入到工作流程中,或者強制設置系統更新周期以求通過軟件和技術獲得保護。
受訪的部分組織做得更好。它們積極開展試點計劃,根據不同部門的特定流程或數據訪問需求量身定制。此外,當員工收到可能包含惡意代碼的網絡釣魚電子郵件或附件時,安全團隊能夠通過主動防御系統及時監測并進行干預。
將游戲納入培訓研討會還可增加接受度、加深印象、提高學習效率,比如員工可扮演不同的角色來展示網絡犯罪時如何發生的并應該怎么預防,建立共同的目標和社區意識。個性化的培訓研討會包括Q&A等互動元素,可通過專屬T恤、帽子或禮品證書等方式激勵安全意識得到提升的員工。
方法六:加強董事會的參與度
網絡安全威脅將帶給企業看得到的財務、運營、法律和市場風險。處理任何威脅(無論是與技術有關還是其他方面)都是董事會的責任范疇。
在認識到網絡安全文化的現實狀態和理想目標存在顯著差距的組織中,三分之一的受訪者認為缺乏高管支持是主要的絆腳石。將網絡安全文化充分融入到內部時遇到的障礙還包括資金不足、組織目標沖突以及員工/團隊風格、文化或地理分割造成的影響。這些受訪者都遇到過業務問題和競爭劣勢,例如數據泄露、法律/監管處罰、品牌信任度下降、員工敬業度變低以及客戶流失率高等。
成功構建網絡安全文化的組織在高層推動上有著共同點,比如高層管理人員以身作則加強自身行為規范,親自擔任網絡安全團隊領導,參加在各類網絡安全討論活動,優先分配預算支持,聘請顧問,并進行研究以評估企業風險和能力等。
為了獲得這種支持,專家建議CISO和CIO通過拋出一些引人注目的商業案例來闡述對網絡安全問題的理解和擔憂。他們應該詳細說明安全問題將如何影響企業資產、新產品開發、市場戰略以及企業使命等方面。來源FreeBuf