怎樣在IT部門建立安全文化

Mark Settle?Charles

如果IT部門沒有安全文化，那就不可能在現代企業中建立安全文化。IT部門應該具有深入人心而且非常顯目的安全文化，能夠作為企業所有其他部門的標桿。本文介紹IT領導們可以用來構建此類文化的6條管理要訣。

很多企業都錯誤地認為——IT部門（或者其他部門）只要有一些網絡安全專家，就足以保護企業其他99%以上的員工，業務敏感或者對業務至關重要的信息也就不會被惡意的外部犯罪分子發現。不幸的是，很多IT部門都存在同樣的錯誤認識。95%以上的IT員工輕易地認為，有了安全部門（可能只占IT員工總數的5%甚至更少），他們就不會惹上麻煩。這種認識一再被證明是錯誤的，但卻仍然存在。

在當前安全意識普遍存在的時代，幾乎每家企業都有安全計劃。一項安全計劃包括由首席信息安全官或者高級安全主管制定的政策、實施政策的操作控制措施、實施控制措施的工作規則和程序、支持規則和程序的工具，并建立安全運營部門，使用工具來監視規則和程序的執行，審核控制措施的一致性和有效性。這聽起來很復雜，但是很多IT部門都能夠很好地理解一項成功的安全計劃的關鍵所在，并且很多企業已經在某種程度上實現了。

然而，安全計劃和安全文化是兩回事。在安全文化中，員工對企業面臨的網絡安全威脅有著充分的了解。他們知道在其行業或者市場中存在的惡意行為者的動機和意圖。通常會在例行業務會議上討論網絡安全問題和關注點，例如，季度業務審查、業務戰略研討、預算規劃會議、并購評估等。這不局限于定期召開的專門討論安全問題的會議，因為領導們和員工知道安全是日常業務工作不可分割的組成部分。工作于真正的安全文化環境中的員工在實施和加強安全防護方面發揮著積極的作用。

有些人可能會爭論說，不可能在分布于多個地理位置運營的大型、多元化企業中建立真正的安全文化，但有大量證據表明，情況恰恰相反。很多金融服務公司都高度重視風險管理，并已形成了有效的安全文化。依賴于使用內部開發的知識產權的企業，例如制藥公司，對網絡安全也同樣非常謹慎。很多大型跨國公司都建立了深入人心而且非常顯目的安全文化。

IT部門應該樹立榜樣

如果IT部門沒有安全文化，那就不可能在企業中建立安全文化。IT部門承擔著監控大量惡意行為者操縱的路徑和流程的責任，為的是不讓這些犯罪分子在網絡安全防御中占上風。如果整個IT部門不認真對待自己的網絡安全職責，那么即使在整個企業中建立這樣一種文化又會有什么希望呢？

雖然IT部門不能僅憑一己之力建立全企業的安全文化，但它應該樹立這樣的文化榜樣，便于其他職能部門學習。然而，這種情況很少發生。有太多的IT部門把安全職責委托給了由安全專業人員組成的小團隊，而其他員工在很大程度上忽略了這些安全職責。安全部門之外的很多IT部門通常會拒絕或者忽視在現有技術堆棧和操作程序中插入更嚴格的保護措施的指示，甚至反對這類指示。而且，當被要求協助解決與安全有關的審計問題或者對特定安全事件作出反應時，個別工作人員會表現出沮喪或者漠不關心，這類情況并不少見。安全培訓通常被認為是在浪費時間，嚴重妨礙了個人其他更緊迫的職責。

建設文化

IT領導們怎樣在自己的部門內建立安全文化？這里列出了6條要訣，如果能一直貫徹執行下去，必將有所收益。

1. 教育為上。讓員工了解對企業造成威脅的惡意行為者一般是什么身份。討論在其他擁有類似產品、服務、運營模式或者市場的企業內出現過的泄露事件案例。確保他們了解惡意行為者以前滲透網絡防御并提取敏感信息所采用的主要方法。

2. 管理入手。建立網絡漏洞的優先級列表，這通常被稱為風險登記。讓盡可能多的IT部門成員參與到列表工作中，添加項目并確定已知漏洞的優先級。獎勵和表彰那些對風險登記冊貢獻最多或者最有洞察力的個人，以此鼓勵其他人也做出貢獻。

3. 以身示范。我以前的一位同事常說：“只要是老板感興趣的事，都會讓我著迷。”任何一名領導如果每天至少一次自發地表現出對某些與安全相關的話題感興趣或者關注，那么他很快就會發現，其他領導和下屬也在做同樣的事情。這說明員工們從他們的領導那里得到了暗示——無論是有意識的還是下意識的。

4. 做好評估。每個人都熟悉管理大師彼得·德魯克的觀點，即，“評估過的東西才能管好”。其實很難設計好安全指標。IT部門能集中精力在全企業實施安全防御措施，并保持其有效性。出于可理解的原因，很多企業不愿意大張旗鼓地宣傳其防御措施的有效性，如果不能與員工或者管理部門成員分享這些措施，那么這些指標不太可能對行動產生影響。

5. 區別對待。利用所有可能的機會，把員工在使用互聯網時遇到的安全問題與他們在工作中遇到的安全問題進行類比。幫助你的部門成員了解被攻破的憑證、勒索軟件、cookies和其他網絡威脅怎樣影響他們的個人生活，這樣，他們在工作場所使用互聯網時就會更加謹慎。

6. 要有處罰。理想情況下，我們只需要教育部門員工有關網絡威脅和防御的知識，他們的行為也會相應地發生變化。然而，在實際工作環境中，不管是有意還是無意的違反政策、控制措施和操作程序時，都應該受到處罰。當業務結果受到損失時，員工必須接受個人處罰。他們必須知道安全控制措施是出于業務原因而制訂的，不遵守這些控制措施將產生后果。顯然應根據錯誤的嚴重程度對處罰進行分級，如果沒有這樣的處罰，將不利于建立安全文化。

領導文化運動

沒有一個信息安全專業人員部門——不管他們有多聰明，資金有多充足，能夠憑一己之力保護企業不受日常所面對的各種黑客、犯罪分子和民族國家全方位的入侵。事實上，在任何情況下都不可能實現絕對的安全保證，但企業如果能夠建立一種安全意識文化，在這種文化中，每名員工都能了解他們面臨的風險，并完全遵守所采取的防御措施，那么成功的可能性就會大大增加。雖然很少有人會反對這一說法，但很多人都不知道從哪里開始。安全部門必須有安全文化，因為這是他們的工作。安全部門之外的IT專業人員應全面接受這種文化，并積極地宣傳推廣。

當倡議者能夠把漫不經心的旁觀者轉變為可靠的參與者時，革命就成功了。如果IT領導們能夠避免出現過于繁瑣的政策、控制措施和程序，并親自去實踐上面列出的要訣，那么他們就可以在IT部門成功地創建安全文化，為企業的其他部門樹立榜樣。IT領導們經常哀嘆自己無法在企業里發揮更廣泛的領導作用，其實這就是他們的機會！

Mark Settle擔任過七屆首席信息官，在信息服務、企業軟件、消費品、高科技分銷、金融服務和石油天然氣行業有著豐富的業務經驗。

原文網址

https：//www.cio.com/article/3411056/how-to-establish-a-security-culture-within-it.html