对于数据安全性,安全团队需要建立个人责任感,而不是恐惧和相互指责。这是两位安全领导人如何做到的。
安全团队无法保护他们看不到的东西。随着监控工具变得更好,最终用户和业务经理需要告诉IT和安全团队他们正在使用来自不同应用程序的数据,特别是在出现问题时。
在涉及安全问题时,在恐惧和相互指责的文化中,最终用户不会告诉您他们是否使用未经批准的应用程序,是否他们点击恶意链接,或者他们是否看到异常活动直到它也是如此晚了。安全团队应该帮助用户建立个人责任感,以便他们像其他公司政策一样对待数据安全,如健康和安全。
相互指责文化加剧了安全问题
将人们视为薄弱环节,营造员工害怕因安全问题而受到惩罚的环境,这不是经营公司的好方法。但是,一些组织采取极端措施来惩罚欺诈受害者。一家苏格兰媒体公司解雇并起诉该公司的一名员工,因为她参与了一次网络钓鱼事件,并向假装成公司总经理付款的欺诈者支付了近20万英镑(250,000英镑)。美元)。 Brian Krebs最近发布了一个员工因未能通过网络钓鱼模拟测试而被解雇的例子。
这种相互指责的文化只会让员工在问题出现时不愿意站起来.这会使数据面临风险。
毕马威英国首席信息官Mark Parr说:
处理信息的人不能成为薄弱环节。我希望人们感到放松,如果他们犯了错误,他们可以告诉我。这一切都是为了建立信任,让我的同事觉得我真的支持他们,而不是那些在出现问题时责怪他们的人。
为了帮助员工之间建立这种安全和信任,毕马威启动了一项计划,以识别引发内部安全问题的员工。帕尔说,他希望发展这种文化,如果出现问题或发生了什么事,人们很乐意告诉他们或将其报告给服务台。毕马威拥有一个内部系统,可以识别员工,并可以被其他员工看到。如果有人发现自己说'我注意到这一点,这有点问题',那么帕尔会告诉他们的直接领导让他站起来。
英国电子商务公司The Hut Group(THG)全球安全负责人Graeme Park警告说,由于公司和个人系统,应用程序和设备之间的链接是——,无论是否通过自带设备(BYOD) )。工作PC可以查看个人电子邮件,反之亦然,或者将个人SaaS帐户用于商业用途.——个人安全意识差是造成组织遭受攻击的另一个因素。这取决于控制和教育的结合,而不是诉诸恐吓。这是再教育的一部分,使安全可以访问,而不是暴力给员工。Park举了一个例子。他认为网络代理经常使用“更大”。更好的方法是记录包括警告在内的所有内容。如果用户访问违反该政策的网站,则应要求他们提供他们需要访问该网页的原因。
当你在教他们安全知识时,他们也在控制着让他们思考并让他们证明这一点。如果人们这样做,他们会有意识地思考他们是否做得对,是否安全,以及是否符合政策。他们也知道在那个阶段他们正在接受审查,所以这实际上会让他们更多地思考。这给了他们更多的力量。
什么是良好的安全文化?
如果相互指责的文化不好,那么良好的安全文化应该是什么样的呢?毕马威的帕尔说:良好的安全文化应该是人们本能地理解与日常活动相关的风险,知道并有信心减少或处理这种风险。我们必须放弃一切都很好的想法,CISO将为我们处理一切。
帕尔和帕克认为,以下四个关键方面是首席信息安全官员建立强大安全文化的努力。
1.使安全性易于理解
在Parr成为首席信息安全官之前一年多,毕马威英国公司一直在改变其公司内部安全文化和教育方法的方式,确保其在27个不同地点的16,000名英国员工能够达到一致的安全意识。帕尔说:好(文化)意味着人们对信息安全感到自信和舒适,而不是它是一门科学还是一种魔力。
建立安全意识文化的关键之一是与观众产生共鸣,因此毕马威的安全教育内容尽可能易于理解,并且是为员工设计的。帕尔说,他希望人们像处理工作中的信息安全一样对待家庭信息安全。通过设定现实生活场景,为人们提供明确的方向至关重要。
无论您是指导客户到会议室的前台员工,还是您负责提供审核,或者您正在帮助客户解决技术问题的技术团队,语言都是相同的,并且他们都以同样的方式理解信息安全。
让人们理解这些基础知识将使最终用户更容易理解,反过来他们会更加认真地对待企业信息安全,因为他们想象出错误的后果。帕尔说,责任是成功的关键。如果人们认为他们理解为什么他们负责数据的处理和管理,那么事情已经过了一半。
2.提供持续的意识培训
作为这种文化变革的一部分,毕马威已经从实时演示和评估转向Parr描述的活动,培训,视频和播客的“持续意识培训”。看看PPT上的幻灯片,尽快浏览,最后回答20个问题,希望你能通过考试,这对我来说没什么用。这只是向您展示从幻灯片中获取信息的能力。让人们了解有可用的规则和指南,知道他们可以做什么,他们不能做什么,以及他们应该扮演什么角色。帕尔首先发表了一份易于理解的政策文件。该文件被浓缩为一页标题,以便在人们有时间阅读时吸引他们的注意力。然后发展成一个三分钟的短视频,他们可能会在火车上观看工作。这是为了保持活动的节奏,以便始终提醒人们。
虽然评估这种文化的影响可能很困难,但Parr与公司的学习和开发团队合作,在公司周围创建了许多员工,他们正在收听播客,观看视频以及参与团队制作的其他安全教育。参与指标。这些指标可用于衡量安全教育材料是否能够与员工产生共鸣。
我还需要不断思考与员工互动的新方式。他们不仅需要认识到安全现实,还需要更多地参与我想要实现的目标。
为了让更多人参与安全教育,该组织的领导层定期发送信息,鼓励人们观看,阅读和聆听安全材料。 “商业信息安全人员”是信息安全主题专家,负责生产活动。他们鼓励员工更直接地参与。
3.与员工一起处理影子IT问题
指责员工使用未经批准的应用程序(称为影子IT)以及出于安全原因解雇这些应用程序是不明智的。影子IT问题已经存在了很长时间。其背后的驱动因素实际上是IT系统的广泛存在;无论是软件还是硬件,无论是在家还是其他任何地方。
Park认为人们并不坏,他们没有尝试过使用影子IT来故意规避公司政策或企业安全措施。一般来说,他们只是想做得更好,更快,更容易完成工作。这是IT和安全工作的失败; IT和安全可以从障碍转变为驾驶员,确保人们拥有完成工作所需的工具。
Park表示影子IT可以是SaaS服务或未经批准的桌面应用程序,他称之为“更小但同样有影响力的影子IT”,例如集成到Slack或JIRA,浏览器扩展,甚至公司类似于网络上的Amazon ALEXA的设备。无论影子IT的形式如何,IT和安全部门都需要更公开地接受它。因为如果人们担心他们会因违反公司政策而受到惩罚,他们永远不会告诉你他们在做什么。
我们需要更明智地对待这个问题。无论如何,它总会发生。如果使用这些外部工具,则风险有限。——例如,有些人想使用设计工具来制作品牌和图形,而这些并不是特别机密的——那么在这种情况下风险很小。你需要给人一定程度的灵活性。4.展示什么是好的
改变公司内部的安全文化也意味着改变安全团队的思维方式。正如员工希望CSO成为一名优秀的沟通者和领导者一样,安全团队也需要效仿,既要引人注目又要平易近人。
帕克说,在过去十年中,他们没有做好让人们更容易理解安全的工作。它们难以用简单的语言表达,如果不澄清潜在的技术问题,很难解释风险。
相反,他说安全问题需要以更加类似于健康和安全警告的方式传达信息。向其他人解释为什么没有个人防护设备爬梯子是不容易的,因为后果是显而易见的。向其他人解释为什么他们应该使用SharePoint,而不是使用Dropbox。这并不容易,因为在他们看来,SharePoint没有与没有保护的爬梯子相同的效果。
我们需要真正投资和教育人们,以确保人们知道他们在做什么,并了解如果他们失去一些文件或知识产权会发生什么,但他们也必须被赋予权力。具体问题的具体分析将带来很大的价值。
Parr一直与安全团队合作,改变他们的思维方式,使他们成为他们在公司中努力建立的文化的代表和倡导者。
他们展示的是好的,他们不断向我的同事展示什么是好的。长期以来,信息安全一直被视为一股冷水涌入人们的奇思妙想。但事实并非如此。我绝对试图帮助公司了解我们如何工作和改进,但要安全可靠。