公司的网络风险在不断变化,您也必须与时俱进。以下是创建网络安全文化的 5 个技巧,既能保护企业,又对员工有意义。
创建网络安全文化一直是企业网络安全战略的重要组成部分。然而,COVID-19 引发的向远程工作的大规模转变,以及混合工作场所的发展,从根本上改变了威胁的格局。
面对新的网络安全挑战,需要重新评估过去的网络安全政策,甚至是大流行病初期制定的政策。必须识别、阐明新出现的风险,并确保与业务战略保持一致。
因为随着风险状况的变化,企业的网络安全文化也必须随之变化。而应对不断变化的安全风险所需的行为和思维方式,即公司的网络安全文化,必须在整个组织中得到推广。
什么是网络安全文化,为什么它很重要?
网络安全文化应被视为一种工作环境,在这种环境中,每个人都关注网络安全,并积极改善网络安全;人们理解网络安全的重要性,并将自己视为解决方案的一部分。
培养网络安全文化还能确保员工意识到存在或可能存在的风险,并了解如何应对或报告这些风险。这种意识反过来又有助于更好地保护组织,为抵御网络攻击和潜在的数据泄露建立一道坚固的防线。
挑战
缺乏足够的安全预算是任何组织面临的主要挑战之一。另一个挑战是在没有公司高层支持的情况下创建网络安全文化。
安全声名狼藉。安全品牌 "是创建网络安全文化的重要因素。安全团队必须通过努力改变人们对安全的态度来克服这一障碍。
企业的首席安全官必须迎接挑战。对于许多公司来说,找到一位能够领导和建立网络安全文化(并将其作为优先事项)的变革型首席信息安全官将是一项挑战。
创建文化的 5 个最佳做法
下面概述了五种关键的最佳实践,以帮助信息安全专业人员在整个组织内创建网络安全文化。
1. 投资正确的安全工具。
安全工具是分层防御不可或缺的一部分,但它们并不是抵御网络攻击的灵丹妙药。最好能有一套经过深思熟虑的网络安全工具,以加强网络安全的 "人的方面"。
例如,投资使用机器学习技术的 SIEM 解决方案,可以帮助安全运营中心的工作人员提高检测和响应能力,改善信噪比,并使安全分析人员能够专注于重要的威胁。
然而,重要的是要记住,随着技术的发展和网络攻击的增加,网络安全技能的短缺只会越来越严重。必须招聘、培训和留住各种背景的网络人才,才能保持领先地位。
2.使安全无障碍
安全管理人员需要开始与高级管理层合作。安全专业人员必须了解业务战略并与之保持一致,识别与该战略相关的风险,并以业务术语对其进行适当的沟通。
一旦管理者用可以理解的语言理解了风险是什么以及对他们的要求是什么,他们就能够向前迈进。
3.自始至终促进网络卫生。
要想产生真正的影响,良好的网络安全实践必须来自于首席执行官,并在公司内部进行传播。如果首席执行官展示了积极的网络安全实践,为公司其他成员树立了良好的榜样,那么团队的其他成员也会效仿。
必须将网络安全作为优先事项,并为公司其他部门定下基调。
- 鼓励高管参加网络安全培训课程。
- 不分层级,全面应用安全策略和流程。
- 与政策制定者合作,根据董事会成员的工作方式调整程序:如果政策对董事会成员不起作用,那么对组织的下级也可能不起作用。
- 假设各种做法需要时间才能在整个公司推广:文化的发展需要时间和努力。
4.以人为本
安全团队常常错误地将 "以人为本 "的安全计划等同于提供所有员工都必须参加的安全意识培训。
你必须以人为本。这意味着要对利益相关者进行分析,了解他们的行为和面临的挑战,找出需要改变的地方以及如何实施改变。然后,在此基础上,为每个利益相关者社区制定安全文化计划。
5.制定零信任战略
网络安全界经常讨论多因素身份验证(MFA)和零信任等安全策略,将其作为加强访问控制的方法,但零信任已迅速流行起来,许多组织现在都希望采用这种思维方式。
企业网络安全的零信任战略是一个框架,要求所有用户在获准访问某些企业系统或数据之前,必须经过持续的身份验证、授权和验证。这既包括公司网络内的用户,也包括公司网络外的用户,因为我们已经进入了一个长期的混合工作阶段。
在整个公司推行这种模式意味着公司的每个人都要面对同样的安全措施,几乎没有犯错的余地,这可能会让你损失业务。
结论
很少有组织强调安全文化的重要性,这可能导致决策失误、系统受损和网络漏洞。
发展网络安全文化是一个持续的过程,需要组织各级人员的参与。
通过在工作场所实施良好的网络安全实践,您不仅可以逐渐建立起一种安全文化,还可以更好地保护您的组织免受网络威胁。
