随着网络安全威胁形势的恶化,以及全球范围越来越严苛的网络安全监管环境,相信没有哪家企业敢说 “我们不需要网络安全!”。防范企业安全看起来是一项“技术活”,但安全攻防的本质是“人”的对抗。同缺乏交通安全意识是交通事故频发的重要原因一样,网络安全意识淡薄是网络安全事件频发的关键因素。不在员工安全意识、企业网络安全文化建设方面投入,不为全员赋能优先考虑“安全性”的企业,将无可避免地沦为网络罪犯任意宰割的“羔羊”!
你需要安全意识官吗?
欧洲网络与信息安全局(ENISA)对“网络安全文化“的定义是指人们对网络安全所持有的知识、信念、认知、态度、假设、规范和价值观的总和,以及对待网络安全所展现出的行为方式。讲企业网络安全文化就是要将安全考量作为每一名员工工作、习惯和行为不可或缺的有机组成部分,将网络安全潜移默化地嵌入到日常的一切网络行为中。
国外一些企业已经为 “安全意识”、“安全文化” 相关工作设置了专门岗位,职位名称如: “Cyber\Security Awareness Expert\Advocate\Lead\ProgramManager、Specialist \Consultant”\"SecurityInfluence & Culture Manager"\"SecurityCommunications Manager", 甚至设有 "SecurityAwareness Officer (SAO)" 一职。
听上去高大上,但当安全意识官可不是件轻松的活,很具有挑战性。这个岗位全面负责企业的安全意识与教育计划,通过确保企业内部所有员工、外部相关第三方了解、理解并遵守组织的安全要求,以安全的方式行事,从而降低组织的安全风险。
目前,安全意识官还是一个崭新的职业,也是令人心动的领域,未来仍有待开发探索,但这一角色在企业安全管理中具有战略性意义,他/她对组织的整体安全、风险管理、企业安全文化等方面将带来积极的重大影响。
打造“网络安全第一的”企业文化
“9·11”事件之后,纽约大都会运输署 (MTA) 曾打出了一条标语:“这个城市有1600万双眼睛,我们就指望所有这些眼睛!”,旨在让市民意识到每一个人在城市遭受另一次恐怖袭击时都处于第一线,让每位市民都意识到他们在保护城市和自身安全方面发挥着重要作用。
企业网络安全文化建设可以做同样的事情,需要 “All in”,全员参与,发挥 “人是网络安全的第一道防线”的重要作用!在顶层设计上,将网络安全融入到公司使命与愿景中,将安全基因注入现有企业文化,清楚地表明安全性是不可协商的、不可妥协的。在企业里从上至下每一名员工都应该意识到:“网络安全,我们责无旁贷!我们每一个人将安全融入到实际岗位工作的每一件事情之中,我们的企业就会更安全!”
塑造组织级的网络安全文化,甚至是一个部门的安全文化,都不是件易事。总的来说,人们不喜欢变化,而变革需要时间,需要精心培养和打造,长期持续的投入、创新、改进和优化。
构建网络安全文化需注意三大问题
1.对于企业安全文化而言,最危险的情况莫过于理念与行为的背离。要想要在具体实践中做好“以人为本”的企业网络安全文化建设,各级管理者需要以身作则,推动安全行为由上至下的改变,公开推广安全文化对组织、个人和客户的价值与重要性。
2.需要打破生产力和网络安全之间矛盾的困境。IT安全团队关注的似乎永远是:安全性、安全性、还是安全性!而其它团队在实际工作中往往更关注的是:效率、生产力、便利性! 对IT安全部门有负面看法,认为是一个 “Say No” 的部门,这种矛盾和否定性是建立和维持网络安全文化的主要障碍。
3. 打造企业网络安全文化需要内部各部门的积极配合,需要做大量的内部传播、营销、公共关系工作,这不是仅凭安全部门就可以实现的,创建一支多学科团队涵盖这些关键技能是必须的。
目前阶段,国内企业真正关注网络安全文化建设还不是普遍现象。在强有力的“网络安全文化”影响下建立自觉的、安全的行为习惯,就能成功地从“最薄弱一环”转变为防御网络攻击的“最强大资产”,再结合各种技术手段与风险管理策略,企业才能真正增强网络安全信心,在网络风险防范中取得最大优势!来源互联网安全大会
如何提升员工信息安全意识观念四部曲