为今天和明天向更好的安全性前进: 建立网络安全文化

建立适用于整个组织的网络安全文化是许多安全领导者的头等大事。众所周知，要成功抵御攻击者、保持弹性，人是关键。攻击者知道，利用人可以 找到阻力最小的路径和入侵澳门赌场官方下载的立足点。但是，如果员工接受过适当培训，能够识别和报告可疑活动，安全团队便可利用这些情报来识别是否有攻击者绕过技术防御措施。

如果拟真式方案能够让员工的行为发生改变，对 安全团队而言，就如同获得了一定数量的真人传感器，这对于保持弹性至关重要。

网络安全文化主要关注行为变化。此外，员工对于自己能够为组织、为自己个人生活以及社会做出更大的贡献的确信，这也是安全文化的一部分。将这几部分综合起来，组织计划将日臻完善，员工应被视为解决方案的一部分，而不是问题所在。最终，安全文化应扩展到澳门赌场官方下载的各个层面，安全团队应与澳门赌场官方下载领导和员工持续合作，以在今天和未来实现更好的安全。

领导与沟通

领导是成功改善安全文化的关键。强力的安全团队领导对于打造团队和留住人才必不可少。¹ 一个强大的内部安全团队能够带来的另外一个好处是，它也有助于建立强大的安全文化。毕竟，培养一种文化，让所有同事成为盟友并为这个大目标做出贡献，进而使安全团队长期获益，符合团队的最佳利益。

让安全团队参与其中对成功非常重要。从过往经验来看，安全人员通常会让普通员工感到害怕。无论他们自己是否意识到这一点，非技术员工可能会认为他们难以接近，并担心因为不理解某些安全原则和期望行为而被他们瞧不起。如果员工觉得无法敞开心扉与安全团队沟通，会竭力避免与之接触，安全人员也就无法获得内部安全合作伙伴的支持。

在需要与员工沟通安全要求以及互动时，语气和风度举止很重要。这不是指说话的内容，而是说话的方式。安全团队越早意识到这一点，收效会越好。这也是为什么雇用安全从业者时除了看正规教育和资格证书外，还要考量其他方面的原因。资格证书和学历是必要条件吗？是，但我们还要全方位看待员工。这个行业需要各形各色的人来确保团队的多元化和全面性。招聘时应注重个性，技能是可以培养的。

网络和协作

在建立网络安全文化时，整个澳门赌场官方下载都必须认识和了解安全团队。业务部门与安全团队的第一次会面不应该是在出现危机时。一个眼不见、心不念的安全团队无法赢得业务部门的认同。走出办公室与其他业务部门的员工面对面交流有助于推进对话和建立同事情谊。与业务部门维持融洽关系的安全领导者和安全团队能够建立更好的工作关系。这样，安全团队可以直接了解业务部门的关注点以及如何帮助他们取得成功。这不仅是解决问题的一个契机，还能防止安全工作阻碍业务运营。

远景与信任

要想员工支持安全计划，必须先让他们了解澳门赌场官方下载远景。必须在整个澳门赌场官方下载，从上至下向所有员工明确阐述和分享远景。在澳门赌场官方下载范围内分享计划的进展情况以及员工可如何为计划的成功出力。此外，远景必须具有可持续性。

分享远景对于吸引新的安全人才和留住现有人才尤其重要。钱是一个不可避免的因素，但除此之外，人们还希望为有目的和有意义的事情而努力。公 开和明确团队的目标可帮助团队理解及支持组织的要旨。

在分享远景时，组织必须信任团队。不得有任何可感知到的隐藏议程，否则团队就不会追随领导者。请记住，语气、沟通方式和肢体语言都会被人看在眼里。非语言交流也能传递信息。

成立咨询委员会

澳门赌场官方下载的各个部门都必须认同网络安全的重要性， 才能在整个组织内推行网络安全。安全咨询委员会扩展了安全工作的范围，覆盖到澳门赌场官方下载的不同领域。咨询委员会将促进上述合作并对计划的成功（或失败）负责。委员会成员通常包括执行发起人以及风险管理、法务、人力资源、IT、审计、财务、营销和公关人员。委员会成员将吸收和传达信息，并支持澳门赌场官方下载的整体使命。当然，委员会成员有时也会就安全建议展开讨论，但这种讨论是健康和大家期望出现的。这个融合了多元化和支持的团队有助于安全计划的成功，可改善业务运营。

员工参与

就网络安全而言，员工是资产，而不是弱点。但是员工经常会被视为最薄弱的环节。员工经过适当培训并改变自身行为习惯后，不会是一个薄弱环节。没有百分之百有效的技术解决方案，能够识别和报告绕过技术的网络钓鱼电子邮件等安全事故的员工可以为安全团队提供宝贵的数据。

漫长持久的计算机辅助培训 (CBT) 计划并非好的解决对策。几周或几个月之后，这些信息很快就会被遗忘。为切实改进这一计划，安全团队需要通过现实状况模拟来对员工进行培训（网络钓鱼是主要的例子）。例如，定期举行（如每 1 到 2 个月）不只是关注点击率的网络钓鱼模拟活动，能够在员工上报网络钓鱼电子邮件时，让相关人员掌握有关保持弹性的可衡量数据。此类活动的目的是让员工知道在遭遇网络钓鱼时的正确做法，即避免上钩并上报安全团队进行进一步的分析和补救。

如果员工持续未能通过评估并显示出自身的弱点，建议不要惩罚员工。“三振出局”的做法并不能改善安全文化。这样做只会削弱信任并引发恐慌。更糟糕的是，这种方法通常只针对普通员工，并未覆盖到领导层，是双重标准。

为吸引员工，需要准备一些示例来解释他们的角 色，以及他们可以如何帮助提高澳门赌场官方下载的安全性及其在家中的福祉。安全团队应该抱持同理心，而非盛气凌人，以便在整个澳门赌场官方下载中建立更牢固的关系。

庆祝成功的形式多种多样。当下流行的方式之一是当众表示认可，这比礼品和金钱更好。一般来说，人们喜欢获得认可，这样做可鼓励大家做出更多值得表彰的事情。然后，可以面向整个澳门赌场官方下载宣传这些员工，将他们视作勇于改变自身行为的好榜样。

招聘安全大使

安全领导者应该学会如何创造性地为团队提供补 充。虽然许多人仍在寻找传统的安全工程师或分析师，但由于供需方面的挑战，招聘经理现已开始关注拥有宝贵技能并且可以帮助填补空白的其他人员（通常是内部人员）。

安全大使（有时也被称为安全支持者）是组织内部可在现有职责范围外从事安全工作的人员。安全大使就如同安全团队的扩展网络，可帮助在整个组织传达安全远景和行动计划。他们在现有职务之外自愿参与安全任务。他们是业务线与安全计划之间的双向通信资产。

技术员工很自然地会受舒适区的吸引。安全领域之外的典型技术角色包括开发人员、项目经理、系统管理员、工程师和 IT 客服。IT 客服是至关重要的大使，因其负责接听电话和接收电子邮件，必须从一开始就参与其中。这可以追溯到与员工进行外向积极沟通的原则，以免他们感到压抑。如果 IT 支持团队不能很好地与其他员工合作，或者没有敏锐的安全思维，就会错过提高安全的真正机会，因为员工才是发现事故最初迹象的第一人。

说起大使，经常会提及的问题是时间投入和补偿。通常情况下，安全领导者会积极推崇这个岗位，员工将自愿而非被要求担任安全大使。成为大使将充满使命感，这也是许多人希望加入该群体的一个驱动因素和重要原因。他们认为在日常角色之外为伟大的事业贡献力量很有意义，而且他们也有能力这样做。对于使命，表达认可是人们获得激励的绝佳方式。一个响亮的名字以及着重介绍团队及其存在原因的辅助宣传材料，可彰显大使身份并吸引其他员工的兴趣。例如，高级管理层赞扬团队的简洁话语对于鼓励和激励团队大有裨益。

因此，不应把金钱当做激励因素。如果有人只是 为了钱而参与安全工作，那么他/她就不是合适的人选。最后，时间投入应降到最低限度，否则也难获认同。通常以每月 4 至 8 小时为目标。耗费太多时间会妨碍大使履行其主要职责。

有意义的指标

安全性可以通过讲述实例来表现由新建立的网络安全文化所带来的价值。侧重于回答“那又怎样？” 的指标可以帮助澳门赌场官方下载了解安全工作的具体意义，避免其他人将安全工作视为无人理解的模糊领域。.

解决此挑战的方法之一是创建一个包含两列的表格 — 一列展示进度（或输出），另一列展示影响（或结 果）有效性。这种方法旨在帮助表现测得的结果。在进度列中，示例将是 CBT 或合规举措。但在影响 列中列示减少事故、支持业务目标等举措。不难看出，当需要阐述有关网络安全的状况时，影响列更为重要，因为它与业务更为相关，并且有助于回答 “那又怎样？”的问题。报道全体员工在这一年中都参与了 CBT 且平均分达到 90 分并没有太大意义。从表面上看，数据似乎很震撼人心，但是当高管想要知道这给业务安全性带来了多少帮助时，情况却并非如此。跟踪成本相关事件的减少情况可以带来更有吸引力的数据。想象一下呈现事件减少量与成本之间的关系如何随时间推移发生变化所蕴含的价值。这与计划的实施、所取得的进展以及负面影响的减少直接相关。

确立有意义指标的一个好办法是与业务部门合作，了解网络安全可如何帮助其成功。指标不能由安全团队独立确定。相反，应该让业务部门参与进来，然后与利益相关者分享结果，并在结果不理想且需要进一步关注薄弱领域时，就下一组指标展开通力合作。业务部门不希望在他们的责任范围内看到 不佳的表现。同样，当管理者的团队表现优于同行时，他们会心生自豪感和成就感。但是，说归说，做归做，安全工作关乎整个组织，要每个人都参与其中才能成功。

结论和后续步骤

要制定覆盖所有员工的安全计划，文化是一个至关重要的方面。诚然，安全性离不开战略规划，但并不总是与工程相关。它必须以人为本。要建立安全文化，必须做到以下几项：

• 建立关系—与直属团队和业务部门一道，建立合作关系。这是一项持续的过程和要求，以取得更大的成功。除对招聘有利之外，建立关系还有助于团队协作和成员留任。此外，业务部门将了解安全团队的工作重心以及他们自己可如何在网络安全计划中发挥作用。
• 激励—激励与关系的建立密切相关。对于内部安全团队而言，这不是薪酬，而是关乎目的以及对他们必须保护业务的行动召唤。阐明目的有助于他们了解如何为更伟大的事业和使命做出贡献。同样，应激励业务部门朝着同一方向努力，并了解他们可如何为澳门赌场官方下载的成功做出贡献。
• 简化—提炼并简化复杂流程。我们以报告网络钓鱼电子邮件为例。应简化员工通知安全团队的步骤，并确保安全团队及时向员工通报相关信息，让员工知道自己所做的贡献。流程越清晰、简单且可重复，员工就越会遵守。当员工做了一件对的事情后，让他们知道。员工受到鼓励之后会更加热衷于做对的事。
• 传达清晰远景—清楚地传达远景以及每个人可 如何发挥作用。发言时保持真诚，让团队参与其中。只有看到安全计划的方向，员工才能为履行使命做出更大的贡献。

尾注

¹ Saurbaugh, M.; “Cybersecurity Employee Retention and Management Culture,” ISACA Journal, volume 4, 2018, http://h04.v6pu.com/resources/isaca-journal/issues