網路安全文化建設的六大方法論 | 解讀《2018網路安全文化報告》
前言
在當今嚴峻的網路安全形勢下,相信各類企事業機關對與網路安全重要性的認識已經不用多說了,但是網路安全文化構建還極度缺失。
來自ISACA研究所的《2018年網路安全文化報告》指出,95%的全球受訪者認為他們當前的網路安全文化建設與期望的最終狀態存在巨大差距,在網路安全領域的資源投入需要優先考慮網路安全文化的培訓和體系構建,同時還要建立年度網路安全文化評估以提高員工意識。
本文就來對《2018年網路安全文化報告》進行一個解讀,權當為相關人士拋磚引玉~
概述
對於一個組織而言,每一個活生生的人才是網路安全態勢戰略管理的核心。然而,大多數網路安全防禦體系的構建還是基於傳統的戰爭模式,核心理念是確保所有邊界的安全,禦敵於外。ISACA研究所的安全專家指出,傳統理念在迅速變異的網路犯罪形式和手段面前早已不堪一擊,傳統的網路安全長城已經千瘡百孔。
來自世界經濟論壇的分析師表示,想要成功應對激增的網路攻擊,協調一致的團隊努力是必要條件。在商業環境中,高績效團隊的特徵是公開交流、信任、合作和清晰的責任劃分。對於網路安全這一塊也是一樣的,企業從上至下能夠拿出積極的態度和持之以恆的行動,效果遠遠比國家層面通過技術打擊或通過警方介入好得多。
但是並非每個組織、每家企業都能建立這樣的工作文化,讓安全意識和行為無縫融入到到每個人的日常工作中。ISACA研究所就是在這樣的背景下進行了一次全球範圍內的網路安全文化調查,力求探明能夠做到這一點的組織有哪些文化特徵和做法,如何管理和維護數字資產、網路、智慧財產權、僱員的行為。
網路安全文化的特徵
在企業的數字化轉型中,員工對於資料的獲取、流轉、處理等日常操作構成了一個組織的“網路文化”的一部分。要審視企業的網路安全文化,需要深入研究個人信仰、刻板印象和習慣等因素,這些內容可為分析整個企業的安全相關行為提供資訊基礎。除了與資訊科技有關的安全措施外,這些資料還能體現出一個組織的風險框架。
什麼是有效的網路安全文化?
研究顯示,成功的網路安全文化需要員工具備以下特質:
清楚瞭解保障終端安全需要做什麼;
能夠參與常規的安全培訓;
積極嘗試網路安全專案規定的操作方法和習慣。
如果全體員工都能具備以上特質,企業能夠獲得以下好處:
能夠看到潛在的風險點;
減少網路安全事件的發生;
在遭到網路攻擊後能夠快速恢復業務;
開展全新業務的能力大大增強;
客戶對於其品牌的信任度不斷上升。
本次調查得到的資料顯示,只有 5% 的受訪者認為,他們當前的網路安全文化建設符合預期,也就是,高達 95% 的受訪者認為,員工不具備或者僅具備以上特質中的幾項,網路安全文化建設的現實和理想狀態間存在嚴重的脫節,企業運營、品牌忠誠度和競爭優勢等方面均已看到負面影響。
雖然受訪者或多或少都認識到了這一差距,但他們不知道該怎麼做,最關鍵的問題是缺乏一個有凝聚力的管理計劃,一個全員投入的抓手。《2018年網路安全文化報告》為網路安全管理和轉型能力比較薄弱的企業提供一個可以操作的路線圖,均是從成功實踐的企業身上得出的共性。
方法一:健康的網路安全文化的標誌
參與這項全球研究的4815名受訪者中,近90%的認為建立一種更強大的網路安全文化可提高企業的業務拓展能力和生存能力:網路安全不再僅僅是成本中心該管的事了,而是一個企業業務的推動力。
標誌一、良性迴圈
在企業內部,僱員明確瞭解自己的角色和責任後可形成一種良性迴圈。當網路攻擊發生時,企業能夠以非常靈活的方式進行響應,通過動態的防禦手段加快業務恢復。清晰的架構能夠加強各部門之間的互動和理解,實現網路安全保障方案的全面協調,在法律法規不斷變化的情況下快速合規,或者在新技術、新戰略推出時能夠更快地落地。
標誌二、明確KPI
在尚未建立有效網路安全文化的組織中,缺乏明確的管理計劃或關鍵績效指標是一個共同的特點。員工並不覺得維護網路安全與自己的利益存在多大關聯,導致企業更容易暴露在資料洩露、商業機會流失、客戶忠誠度下降、監管機構處罰等風險之中。
組織需要建立KPI以實現用於行為追蹤和改進的衡量基準和手段,然後根據KPI制定政策,將風險意識轉化為員工的日常行為,構建有意識的安全文化。
方法二:全民參與
高層管理者從各個角度的推動非常關鍵,受訪者中只有58%表示有全盤的網路安全文化管理計劃和政策,絕大多認為是CISO(60%)或CIO(47%)責任,只有6%的受訪者邀請人力資源部門介入以全面推動計劃的實現。
成功的溝通往往是雙向的,通常從傾聽員工的想法開始。 大約46%的組織在過去一年內採取過措施來評估員工對組織的網路安全文化或指導方針的看法或理解。專家表示,員工對網路安全的假設或印象對於形成對個人責任的理解至關重要。
如何構建有組織、有紀律的網路安全文化
構建一個跨團隊的核心網路安全文化團隊可喚起全民參與的熱情,可以這麼做:
1. 高階管理層將網路安全新增到董事會的常設議題中,確保始終有充足的資源支援計劃推進,並在安全問題和業務目標不一致時解決衝突。 2. 資訊保安教育業務部門研究和推廣最有效的安全流程。 3. IT部門負責維護基礎設施和最新技術的部署,並收集網路安全分析資料。 4. 人力資源部分通過培訓、研討會等形式瞭解員工對於自身責任、安全流程和操作規範的理解。 5. 法務部提供有關國際和國家法規的快速反饋,推進公司上下行為準測的合規。 6. 市場/內部協調部門提供技能支援,通過內部渠道、電子郵件、提示列表、海報、網路研討會和公司內部網路來教育員工和推動政策落地。
跨部門的網路安全團隊可以快速推進網路安全試點計劃和培訓,有助於資訊共享、分析以及調整未來的計劃。
方法三:贏得員工和管理層的支援
在企業內部成功營造網路安全文化,與全體員工和管理層的支援密不可分。根據ISACA研究所的調查,近半數成績斐然的組織採取的一項關鍵做法就是每年衡量和評估員工的意見。結果表明,在這方面企業還存在很多提到的空間:34%的受訪者認為他們的員工清楚瞭解在貫徹組織所需的網路安全文化方面的作用; 47%的受訪者表示他們的員工只是“有點”瞭解它; 19%的受訪者認為他們的員工根本沒有概念或不理解。
那麼該如何獲得自上而下的全面支援?
網路安全專家Ross提出了一些溝通機制的建議:
1. 在新員工的入職流程中加入安全協議內容。 2. 在部署新硬體或進行軟體升級後,每哥季度為員工提供額外培訓。 3. 根據個人認識、技術難度或部門風險態勢制定安全培訓。舉個例子,財務部門在面對個人資料時該怎麼做。 4. 通過小組活動和個別指導深入推進安全培訓。 5. 選擇積極提問並提供反饋的監察員。 6. 選取網路攻擊相關新聞來來討論當前的網路安全態勢。 7. 建立聯絡點並進行模擬演練,讓員工在實際的網路攻擊中掌握方法和技能。
方法四:制定相應的基準測試
業務目標和相應的基準測試是任何戰略計劃的基本要素。對於網路安全文化計劃而言,組織應考慮先行記錄員工的行為、合規性和參與網路安全風險預防的態度來構建一個基準,然後努力幫助改進。根據調查結果,有近三分之一的企業雖然制定了目標或KPI,但是沒有制定員工針對網路安全文化的理解程度的基準測試。通過基準測試,組織還可以衡量員工在日常運營中是否能夠遵循指南或主動報告可疑電子郵件、行為或事件。這些資訊可以作為相關培訓的出發點或者是針對性的干預措施。
將IT轉型作為制定測試的抓手
網路安全專家Grindstaff建議將網路安全規則融入到員工的裝置申請和軟體更新流程中。 網路安全團隊可以藉助後續電子郵件來推進網路安全文化,比如員工在進行如下操作時:
1. 更新密碼或使用新的加密方式。 2. 在工作場所攜帶或要求使用個人裝置,如筆記本電腦、平板電腦、手機和USB驅動器。 3. 開始涉及到共享、儲存、下載或傳輸資料的新工作職責時。 4. 登入VPN或未知網路時。
方法五:組織培訓,提供實踐渠道
網路犯罪的形態正在迅速變異,主要原因是社會生活方式的變化。比如喜歡在社交媒體上公開個人資訊或使用不安全裝置(BYOD)的員工,往往會被作為網路攻擊的切入點,通過他們的渠道安裝未經批准的軟體或者提供憑證盜竊的新途徑等。企業網路安全團隊必須將培養員工意識作為重點方向。
調查顯示,近四成的組織已經加強了以風險意識、隱私政策和資料保護為主的培訓。 但是,依然有半陣列織處於網路社群或社交媒體互動帶來的潛在威脅之中。實際上,上述培訓還遠遠不夠。例如,調查結果中83%的員工培訓計劃是線上(基於計算機的培訓)而不是通過實踐或面對面培訓進行的。
使用一些被動約束制度是有用的。 例如,通過人工方式提示員工進行密碼更新,將合規性要求嵌入到工作流程中,或者強制設定系統更新週期以求通過軟體和技術獲得保護。
受訪的部分組織做得更好。它們積極開展試點計劃,根據不同部門的特定流程或資料訪問需求量身定製。此外,當員工收到可能包含惡意程式碼的網路釣魚電子郵件或附件時,安全團隊能夠通過主動防禦系統及時監測並進行干預。
將遊戲納入培訓研討會還可增加接受度、加深印象、提高學習效率,比如員工可扮演不同的角色來展示網路犯罪時如何發生的並應該怎麼預防,建立共同的目標和社群意識。個性化的培訓研討會包括Q&A等互動元素,可通過專屬T恤、帽子或禮品證書等方式激勵安全意識得到提升的員工。
方法六:加強董事會的參與度
網路安全威脅將帶給企業看得到的財務、運營、法律和市場風險。處理任何威脅(無論是與技術有關還是其他方面)都是董事會的責任範疇。
在認識到網路安全文化的現實狀態和理想目標存在顯著差距的組織中,三分之一的受訪者認為缺乏高管支援是主要的絆腳石。將網路安全文化充分融入到內部時遇到的障礙還包括資金不足、組織目標衝突以及員工/團隊風格、文化或地理分割造成的影響。這些受訪者都遇到過業務問題和競爭劣勢,例如資料洩露、法律/監管處罰、品牌信任度下降、員工敬業度變低以及客戶流失率高等。
成功構建網路安全文化的組織在高層推動上有著共同點,比如高層管理人員以身作則加強自身行為規範,親自擔任網路安全團隊領導,參加在各類網路安全討論活動,優先分配預算支援,聘請顧問,並進行研究以評估企業風險和能力等。
為了獲得這種支援,專家建議CISO和CIO通過丟擲一些引人注目的商業案例來闡述對網路安全問題的理解和擔憂。他們應該詳細說明安全問題將如何影響企業資產、新產品開發、市場戰略以及企業使命等方面。
參考連結
ofollow,noindex" target="_blank">http://www.isaca.org/info/cybersecurity-culture-report/index.html
*本文作者:Freddy,轉載請註明來自FreeBuf.COM