安全团队无法保护他们看不到的东西。虽然监控工具做得越来越好,但是最终用户和业务经理需要告诉IT和安全团队他们在不同应用程序上所使用的数据,尤其是在出现问题时。
安全方面中的责备和恐吓等企业文化意味着最终用户不会告诉你他们是否使用了未经批准的应用程序,点击了恶意链接或看到了异常活动。直到问题出现之时已经为时已晚。安全团队应该建立一种用户个人责任文化,以便他们能够像对待健康和安全等企业政策一样对待数据安全。
1
责备文化只会让安全性越来越差
将人视为一个薄弱环节,并创造一种员工担心因安全故障而遭到报复的环境,这不是经营企业的好方法。然而,一些企业往往会采取一些极端措施来惩罚骗局的受害者。一家苏格兰媒体公司在遭遇网络钓鱼骗局后解雇并起诉了一名员工,原因是骗子冒充该公司总经理从这名员工手中骗走了约20万英镑(25万美元)。Brian Krebs最近公布了多起员工因未通过模拟网络钓鱼测试而遭到解雇的案例。
这种责备文化只会让员工在出现问题时不敢站出来……从而使数据面临风险。“这些处理信息的人不能成为薄弱环节,”毕马威英国首席信息安全官Mark Parr说。“我希望让员工感到平易近人,如果他们犯了错误,他们能够告诉我。这一切都是为了建立信任,让我的同事们觉得我实际上是在支持他们而不是在事情出错后就要处罚他们。”
为了帮助建立安全团队与员工之间的信任,毕马威启动了一项计划,旨在表扬那些在企业内部发现了安全问题的员工。Parr称:“我希望发展这种文化,让人们乐于告诉我,或者是在发生问题或事情后,他们能够向服务台报告。我们有一个内部系统,我们会表扬员工,其他员工也都可以看到。如果有人来找我说‘我注意到了这个问题',那么我会让他们的直接主管知道是这个人主动站出来报告了问题。”
英国电子商务零售商The Hut Group(THG)全球安全运营主管Graeme Park警告称,无论员工是使用BYOD(自带设备),还是从工作计算机访问个人电子邮件,亦或是通过个人计算机访问工作邮件,还是出于商业目的使用个人SaaS(软件即服务)账户,鉴于业务与个人系统、应用程序与设备之间的关系,糟糕的个人安全是企业遭到攻击的一个因素。企业可以将控制与培训相结合,而不需要采取恐吓的手段。Park称:“这是一个重新培训的问题,目的是让安全部门变得平易近人,而不是将员工打倒让他们永远无法翻身。”
例如,Park在网络代理方面经常“小题大做”,同时记录所有内容,包括对用户访问违规网站的行为进行警告并应要求用户提供理由,说明为什么需要使用访问该页面。他说:“你在履行控制权的同时应给他们灌输安全知识,让他们思考并让他们自己证明。如果员工们这样做,那么他们会有意识地决定自己的所做所为是否正确,是否安全,是否符合规定。”
“他们也知道会在这个阶段被审核,这实际上会让他们再多考虑考虑。同时这也赋予了他们更多的权力,”Park补充道。
1
优秀安全文化应具备的特征
如果责备文化不好,那么优秀的安全文化应该是什么样子呢?毕马威的Parr认为:“人们下意识地知道与日常活动相关的风险,并且有信心降低风险或处理风险。我们必须摈弃‘一切都很好,首席信息安全官会为我们处理好的’这种想法。”
Parr和Park认为首席信息安全官应该专注于在以下四个关键领域提供强大的安全文化。
01
让安全性变得浅显易懂
自从Parr在一年多前担任首席信息安全官以来,毕马威英国公司一直在改变其在公司内部的安全文化和教育方法,以确保该公司在27个办公地点的16000名英国员工在安全意识方面都处于同一水平。Parr称:“良好的文化可让人们对信息安全充满自信和感到贴心,而不是觉得它们是一门科学或玄学。”
创建具有安全意识的文化的一个关键方面是让受众喜闻乐见,为此毕马威的安全教育内容尽可能以简单易懂的语言编写,并且适用于员工。Parr称:“我希望员工在家中对信息安全的看法与他们在工作中的看法一致。通过设定现实生活场景,为员工指出明确的方向非常关键。”
“无论是帮助客户进入我们的客户演示套件的前台工作人员,还是正在进行审计的人员,或者是帮助客户解决技术问题的技术团队人员,只要语言是一样的,那么就都可以听懂。”
这些基础知识会让最终用户更容易理解,反过来也意味着他们会更加认真地对待企业信息的安全性,因为他们可以想象出错的后果。Parr说:“对我来说,成功的关键是责任。如果员工认为他们理解了为什么自己对这些数据的处理和管理负有责任,那么我就做对了。”
02
提供持续的意识培训
作为这种文化变革的一部分,毕马威已经从演示、评估进行到了Parr所称的“持续不断地灌输意识”阶段,即通过活动、培训、视频和播客培养意识。“观看幻灯片、尽可能快地点击、最后回答20个问题并希望你及格,然而这些并没有真正向我展示任何东西,只表示你能够记住幻灯片中的一些信息。我想要的是让人们了解一些规则和指导,知道自己可以做什么和不能做什么,以及自己的角色。”
Parr称:“首先要使用非常简单的语言、易于阅读的政策文件,将这些文件压缩成像篇幅不大的新闻热点一样,以吸引人们抽时间阅读它们。然后再配上三分钟时长的小视频,方便人们乘车上班途中观看这些视频。这样做的目的是为了保持意识灌输活动持续不断,让员工始终处于被提醒中。”
虽然对文化进行测评非常困难,但是Parr还与公司的学习和开发团队合作,围绕公司有多少员工正在收听播客、观看视频以及与团队正在制作的其他安全内容进行互动等情况制定了参与度指标。这样有助于获得培训材料是否与工作人员产生共鸣的指标。
他补充道,“我还需要不断考虑与员工进行互动的新方法,不仅要在安全性方面提醒他们,还要让他们更多地参与到我正在尝试的事情当中。”
为了提升员工学习的积极性,公司高层会定期鼓励员工观看、阅读和收听这些安全材料。业务信息安全官们要作为信息安全主题专家深入到业务领域,鼓励员工更直接地参与其中。
03
与使用影子IT的员工合作
以安全为由解雇员工,从而制止员工使用未经批准的应用程序(称为影子IT)是不明智的。Park认为“影子IT长期以来一直是一个问题,其背后的推动因素实际上是IT系统无处不在,无论是软件还是硬件,无论是在家里还是其他地方。”
Park称:“这些人并不坏,他们也并没有试图利用影子IT故意规避公司政策或公司安全策略。通常情况下,他们只是想更好更快更容易地完成工作。这是IT和安全部门的失败,我们可以从阻止者变为推动者,确保员工们拥有完成工作所需的工具。”
Park表示影子IT的范围涉及SaaS服务、未经批准的桌面应用程序以及一些“规模很小但是影响力很大的东西”,如与Slack或JIRA、浏览器扩展、甚至是与企业网络上类似亚马逊Alexa等设备的整合。无论影子IT采取何种形式,IT和安全都应以更加开放的态度接受它们。如果因担心违反公司政策而遭到处罚,那么将导致用户永远都不会告诉IT部门他们在做什么。
Park称:“在这一点上,我们要更加聪明灵活。无论怎么说这些事情都在切切实实地发生。如果使用这些外部工具的风险有限——假设有人想要在工作中使用某款设计工具,而这些工作又不涉秘——那么这种情况的风险可能有限。你需要能够为人们提供一定程度的灵活性。”
04
积极展示优秀安全文化
改变企业内部的安全文化也意味着改变安全团队的思维方式。员工们希望首席安全官成为一名优秀的沟通者和领导者,和首席安全官一样,安全团队也要追求这种效果。
Park称:“过去十年来,安全团队在平易近人方面做得并不是很好。我们很少用简单的语言进行表述,我们也没有在阐明真正的基本技术问题的基础上阐明风险。”
Park认为,安全需要以类似健康和安全警告的方式传达信息。“向人们解释为什么不应在没有个人防护装备(PPE)的情况下进行攀岩,因为这种后果是显而易见的。但是向人们解释为什么他们在使用SharePoint时不能使用Dropbox却非常困难,因为它们的后果并不像在没防护的情况下攀岩的后果那么明显。”
“我们需要真正的参与和教育,从而确保员工了解他们正在做什么,知道如果自己失去了某些文件或知识产权会发生什么。将问题框在每个人应承担的责任当中具有巨大价值,”Park说。
Parr也一直与安全团队合作,尝试着改变他们的思维方式,让他们成为自己向公司其他部门灌输安全文化的大使和拥护者。他说:“这些人正在展示优秀的安全文化应该是什么样子,同时也让他们的同事不断看到这些优秀的安全文化。很长一段时间以来,信息安全被视为一种商业行为,这扼杀了许多好的想法。现在不能再这样下去了,我们应当让企业清楚我们的工作和推动方式,让他们知道这么做是安全且可靠的。”
作者:Dan Swinhoe为CSO Online网站记者,曾担任IDG Connect网站高级编辑。
编译:陈琳华
原文网址:https://www.csoonline.com/article/3404518/4-ways-to-build-a-strong-security-culture.html
