如何在IT部門中建立安全文化

如果IT部門中不存在安全文化，那么在企業(yè)中建立安全文化是不可能的。IT部門應該具有廣泛而顯著的安全文化，可以作為企業(yè)所有其他部門的示例。

大多數(shù)公司都認為，企業(yè)IT部門或其他部門的內(nèi)部安全專家可以保護其他99%以上的員工，使其不被懷有惡意的攻擊者發(fā)現(xiàn)對業(yè)務敏感或?qū)I(yè)務至關重要的信息。不幸的是，許多IT部門都存在同樣的錯覺。95%以上的IT員工認為，其安全團隊(可能只占IT員工總數(shù)的5%或更少)將使他們擺脫困境。事實證明，這些想法很多都是錯誤的，而安全威脅仍然存在。

在當前普遍存在安全意識的這個時代，幾乎每個企業(yè)都建立了安全計劃。安全計劃包括由企業(yè)的首席信息安全官或高級安全領導者制定的政策、實施政策的運營控制、實施控制的工作規(guī)則和程序、支持規(guī)則和程序的工具，以及使用工具監(jiān)控的安全運營團隊規(guī)則和程序，并審查控制的一致性和有效性。這聽起來很復雜，但大多數(shù)IT部門都很好地理解了成功的安全計劃的關鍵部分，并且在大多數(shù)企業(yè)中都已經(jīng)在某種程度上實現(xiàn)了。

安全計劃和安全文化是兩回事。在安全文化中，員工對其公司面臨的網(wǎng)絡安全威脅有充分的了解。他們了解在其行業(yè)或市場中運作的惡意行為者的動機和意圖。企業(yè)的網(wǎng)絡安全問題和關注點在業(yè)務會議中經(jīng)常討論，例如季度業(yè)務審查、業(yè)務戰(zhàn)略會議、預算規(guī)劃會議、并購評估等。它們不僅限于專門針對安全性的定期會議，因為企業(yè)領導者和工作人員了解安全性是日常業(yè)務運營的固有部分。在真正具有安全文化的企業(yè)中工作的員工在實施安全保護措施方面發(fā)揮積極作用。

有些人可能會爭辯說，在多個地理位置運營的多元化大型公司中建立真正的安全文化是不可能的，但有大量證據(jù)證明是可能的。大多數(shù)金融服務公司都高度重視風險管理，并發(fā)展了有效的安全文化。依賴于使用內(nèi)部開發(fā)的知識產(chǎn)權的公司，如制藥廠商，他們對網(wǎng)絡安全同樣謹慎。在許多大型跨國公司中存在著廣泛而引人注目的安全文化。

IT部門應該樹立榜樣

如果IT部門尚未存在這樣的文化，那么在企業(yè)內(nèi)部建立安全文化是不可能的。IT部門負責可能被惡意行為者操縱的路徑和流程的安全，以避免在網(wǎng)絡安全防御中發(fā)揮核心作用。如果IT部門沒有認真對待其網(wǎng)絡安全職責，那么在整個企業(yè)中建立這樣一種文化真的有什么希望?

雖然IT部門無法獨立建立企業(yè)范圍的安全文化，但它應該提供其他職能部門可以模仿的這種文化的示例。不過這種情況很少發(fā)生。有很多的IT部門將安全職責委托給一小組安全專業(yè)人員，而其他工作人員在很大程度上忽略了這些安全職責。安全團隊以外的許多IT團隊經(jīng)常拒絕、忽視或辯論將更嚴格的保護措施納入其現(xiàn)有技術堆?；虿僮鞒绦虻闹噶?。此外，當被要求協(xié)助解決與安全有關的審計問題或?qū)μ囟ò踩录幕貞獣r，個別工作人員表達沮喪或漠不關心的情況并不少見。安全培訓通常被認為是浪費時間以及占用個人其他更緊迫工作的行為。

建立安全文化

IT領導者如何在自己的組織內(nèi)建立安全文化?以下有六個觸發(fā)因素，如果它們持續(xù)執(zhí)行，將產(chǎn)生預期的結果。

1.教育。教育工作人員識別威脅企業(yè)的惡意行為人的一般身份。討論在其他公司發(fā)生的類似產(chǎn)品、服務、運營模式或市場違規(guī)的案例。確保他們了解惡意行為者過去使用的主要途徑，例如滲透網(wǎng)絡或泄露敏感信息。

2.管理。建立優(yōu)先的網(wǎng)絡漏洞列表，通常稱為風險登記。讓盡可能多的IT團隊成員加入到列表中，并確定已知漏洞的優(yōu)先級。為風險登記冊上最多產(chǎn)或最有洞察力的貢獻者提供獎勵和表彰，以此作為鼓勵他人做出貢獻的一種手段。

3.談論。任何一個領導者如果每天自發(fā)地表現(xiàn)出對安全相關的話題的興趣或關注，很快就會發(fā)現(xiàn)他們的同事和下屬也在這樣做。工作人員從他們的領導那里得到暗示，無論是有意識的還是下意識的。

4.衡量。安全指標設計起來很棘手。IT人員可以專注于企業(yè)范圍內(nèi)的安全保障措施的實施或其有效性。出于可以理解的原因，許多公司不愿廣泛傳達其保障措施的有效性，如果不能與員工或管理團隊成員共享，則其指標不太可能影響員工行為。

5.個性化。利用每一個可能的機會，在員工作為互聯(lián)網(wǎng)消費者遇到的安全問題和他們在工作中遇到的安全問題之間建立類比。IT部門幫助團隊成員了解被破壞的憑證、勒索軟件、cookies和其他網(wǎng)絡威脅會如何影響他們的個人生活，并且會對他們在工作場所使用互聯(lián)網(wǎng)的方式變得更加敏感。

6.懲罰。在好的世界中，只需要教育團隊成員關于網(wǎng)絡威脅和保護措施，他們的行為也會相應改變。然而，在實際運營的世界中，當政策、控制和操作程序有意或無意地受到損害時，需要對相關人員進行懲罰。當業(yè)務結果受到損害時，員工通常會接受個人處罰。他們需要了解安全控制是出于商業(yè)原因而建立的，并且不遵守此類控制將會產(chǎn)生后果。懲罰顯然需要根據(jù)損害行為的嚴重程度進行分級，但如果沒有這樣的處罰，將會破壞企業(yè)試圖建立的文化。

引領安全文化

如果企業(yè)沒有一支由信息安全專業(yè)人士組成的團隊，那么無論他們是否技術精湛或資金充足，都很難保護企業(yè)免受各種黑客和網(wǎng)絡攻擊者的侵害。事實上，在任何情況下都無法實現(xiàn)絕對的安全保障，但如果企業(yè)能夠建立一種安全文化，每個員工都能理解他們面臨的風險，并完全遵守保障措施的話，那么成功的可能性就會大大增加。雖然很少有人會反對這一說法，但大多數(shù)人對從哪里開始感到困惑。安全團隊必須有安全文化，因為這是他們的工作。安全團隊之外的IT專業(yè)人員需要全心全意地接受這種文化，并成為安全文化的傳播者。

當安全文化支持者能夠?qū)⑴杂^者轉(zhuǎn)變?yōu)樾袆诱邥r，就會取得成功。如果IT領導者可以避免過度設計策略、控制和程序，并親自制定上述觸發(fā)因素實踐，他們可以在IT中創(chuàng)建成功的安全文化，為企業(yè)的其他部門提供指導。很多IT領導者表示，他們無法在公司內(nèi)部發(fā)揮更廣泛的領導作用，而建立安全文化這是他們的機會!

本文題目：如何在IT部門中建立安全文化
當前URL：http://www.bm7419.com/news/101207.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導航、自適應網(wǎng)站、關鍵詞優(yōu)化、動態(tài)網(wǎng)站、全網(wǎng)營銷推廣、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)