网络安全文化建设的六大方法论,解读《2018网络安全文化报告》
网络安全文化建设的六大方法论,解读《2018网络安全文化报告》
前言
在当今严峻的网络安全形势下,相信各类企事业机关对与网络安全重要性的认识已经不用多说了,但是网络安全文化构建还极度缺失。
来自ISACA研究所的《2018年网络安全文化报告》指出,95%的全球受访者认为他们当前的网络安全文化建设与期望的最终状态存在巨大差距,在网络安全领域的资源投入需要优先考虑网络安全文化的培训和体系构建,同时还要建立年度网络安全文化评估以提高员工意识。
本文就来对《2018年网络安全文化报告》进行一个解读,权当为相关人士抛砖引玉~
概述
对于一个组织而言,每一个活生生的人才是网络安全态势战略管理的核心。然而,大多数网络安全防御体系的构建还是基于传统的战争模式,核心理念是确保所有边界的安全,御敌于外。ISACA研究所的安全专家指出,传统理念在迅速变异的网络犯罪形式和手段面前早已不堪一击,传统的网络安全长城已经千疮百孔。
来自世界经济论坛的分析师表示,想要成功应对激增的网络攻击,协调一致的团队努力是必要条件。在商业环境中,高绩效团队的特征是公开交流、信任、合作和清晰的责任划分。对于网络安全这一块也是一样的,企业从上至下能够拿出积极的态度和持之以恒的行动,效果远远比国家层面通过技术打击或通过警方介入好得多。
但是并非每个组织、每家企业都能建立这样的工作文化,让安全意识和行为无缝融入到到每个人的日常工作中。ISACA研究所就是在这样的背景下进行了一次全球范围内的网络安全文化调查,力求探明能够做到这一点的组织有哪些文化特征和做法,如何管理和维护数字资产、网络、知识产权、雇员的行为。
网络安全文化的特征
在企业的数字化转型中,员工对于数据的获取、流转、处理等日常操作构成了一个组织的“网络文化”的一部分。要审视企业的网络安全文化,需要深入研究个人信仰、刻板印象和习惯等因素,这些内容可为分析整个企业的安全相关行为提供信息基础。除了与信息技术有关的安全措施外,这些数据还能体现出一个组织的风险框架。
什么是有效的网络安全文化?
研究显示,成功的网络安全文化需要员工具备以下特质:
清楚了解保障终端安全需要做什么; 能够参与常规的安全培训; 积极尝试网络安全项目规定的操作方法和习惯。
如果全体员工都能具备以上特质,企业能够获得以下好处:
能够看到潜在的风险点; 减少网络安全事件的发生; 在遭到网络攻击后能够快速恢复业务; 开展全新业务的能力大大增强; 客户对于其品牌的信任度不断上升。
本次调查得到的数据显示,只有5%的受访者认为,他们当前的网络安全文化建设符合预期,也就是,高达95%的受访者认为,员工不具备或者仅具备以上特质中的几项,网络安全文化建设的现实和理想状态间存在严重的脱节,企业运营、品牌忠诚度和竞争优势等方面均已看到负面影响。
虽然受访者或多或少都认识到了这一差距,但他们不知道该怎么做,最关键的问题是缺乏一个有凝聚力的管理计划,一个全员投入的抓手。《2018年网络安全文化报告》为网络安全管理和转型能力比较薄弱的企业提供一个可以操作的路线图,均是从成功实践的企业身上得出的共性。
方法一:健康的网络安全文化的标志
参与这项全球研究的4815名受访者中,近90%的认为建立一种更强大的网络安全文化可提高企业的业务拓展能力和生存能力:网络安全不再仅仅是成本中心该管的事了,而是一个企业业务的推动力。
标志一、良性循环
在企业内部,雇员明确了解自己的角色和责任后可形成一种良性循环。当网络攻击发生时,企业能够以非常灵活的方式进行响应,通过动态的防御手段加快业务恢复。清晰的架构能够加强各部门之间的交互和理解,实现网络安全保障方案的全面协调,在法律法规不断变化的情况下快速合规,或者在新技术、新战略推出时能够更快地落地。
标志二、明确KPI
在尚未建立有效网络安全文化的组织中,缺乏明确的管理计划或关键绩效指标是一个共同的特点。员工并不觉得维护网络安全与自己的利益存在多大关联,导致企业更容易暴露在数据泄露、商业机会流失、客户忠诚度下降、监管机构处罚等风险之中。
组织需要建立KPI以实现用于行为追踪和改进的衡量基准和手段,然后根据KPI制定政策,将风险意识转化为员工的日常行为,构建有意识的安全文化。
方法二:全民参与
高层管理者从各个角度的推动非常关键,受访者中只有58%表示有全盘的网络安全文化管理计划和政策,绝大多认为是CISO(60%)或CIO(47%)责任,只有6%的受访者邀请人力资源部门介入以全面推动计划的实现。
成功的沟通往往是双向的,通常从倾听员工的想法开始。 大约46%的组织在过去一年内采取过措施来评估员工对组织的网络安全文化或指导方针的看法或理解。专家表示,员工对网络安全的假设或印象对于形成对个人责任的理解至关重要。
如何构建有组织、有纪律的网络安全文化
构建一个跨团队的核心网络安全文化团队可唤起全民参与的热情,可以这么做:
1. 高级管理层将网络安全添加到董事会的常设议题中,确保始终有充足的资源支持计划推进,并在安全问题和业务目标不一致时解决冲突。 2. 信息安全教育业务部门研究和推广最有效的安全流程。 3. IT部门负责维护基础设施和最新技术的部署,并收集网络安全分析数据。 4. 人力资源部分通过培训、研讨会等形式了解员工对于自身责任、安全流程和操作规范的理解。 5. 法务部提供有关国际和国家法规的快速反馈,推进公司上下行为准测的合规。 6. 市场/内部协调部门提供技能支持,通过内部渠道、电子邮件、提示列表、海报、网络研讨会和公司内部网络来教育员工和推动政策落地。
跨部门的网络安全团队可以快速推进网络安全试点计划和培训,有助于信息共享、分析以及调整未来的计划。
方法三:赢得员工和管理层的支持
在企业内部成功营造网络安全文化,与全体员工和管理层的支持密不可分。根据ISACA研究所的调查,近半数成绩斐然的组织采取的一项关键做法就是每年衡量和评估员工的意见。结果表明,在这方面企业还存在很多提到的空间:34%的受访者认为他们的员工清楚了解在贯彻组织所需的网络安全文化方面的作用; 47%的受访者表示他们的员工只是“有点”了解它; 19%的受访者认为他们的员工根本没有概念或不理解。
那么该如何获得自上而下的全面支持?
网络安全专家Ross提出了一些沟通机制的建议:
1. 在新员工的入职流程中加入安全协议内容。 2. 在部署新硬件或进行软件升级后,每哥季度为员工提供额外培训。 3. 根据个人认识、技术难度或部门风险态势制定安全培训。举个例子,财务部门在面对个人数据时该怎么做。 4. 通过小组活动和个别指导深入推进安全培训。 5. 选择积极提问并提供反馈的监察员。 6. 选取网络攻击相关新闻来来讨论当前的网络安全态势。 7. 建立联络点并进行模拟演练,让员工在实际的网络攻击中掌握方法和技能。
方法四:制定相应的基准测试
业务目标和相应的基准测试是任何战略计划的基本要素。对于网络安全文化计划而言,组织应考虑先行记录员工的行为、合规性和参与网络安全风险预防的态度来构建一个基准,然后努力帮助改进。根据调查结果,有近三分之一的企业虽然制定了目标或KPI,但是没有制定员工针对网络安全文化的理解程度的基准测试。通过基准测试,组织还可以衡量员工在日常运营中是否能够遵循指南或主动报告可疑电子邮件、行为或事件。这些信息可以作为相关培训的出发点或者是针对性的干预措施。
将IT转型作为制定测试的抓手
网络安全专家Grindstaff建议将网络安全规则融入到员工的设备申请和软件更新流程中。 网络安全团队可以借助后续电子邮件来推进网络安全文化,比如员工在进行如下操作时:
1. 更新密码或使用新的加密方式。 2. 在工作场所携带或要求使用个人设备,如笔记本电脑、平板电脑、手机和USB驱动器。 3. 开始涉及到共享、存储、下载或传输数据的新工作职责时。 4. 登录V**或未知网络时。
方法五:组织培训,提供实践渠道
网络犯罪的形态正在迅速变异,主要原因是社会生活方式的变化。比如喜欢在社交媒体上公开个人信息或使用不安全设备(BYOD)的员工,往往会被作为网络攻击的切入点,通过他们的渠道安装未经批准的软件或者提供凭证盗窃的新途径等。企业网络安全团队必须将培养员工意识作为重点方向。
调查显示,近四成的组织已经加强了以风险意识、隐私政策和数据保护为主的培训。 但是,依然有半数组织处于网络社区或社交媒体互动带来的潜在威胁之中。实际上,上述培训还远远不够。例如,调查结果中83%的员工培训计划是在线(基于计算机的培训)而不是通过实践或面对面培训进行的。
使用一些被动约束制度是有用的。 例如,通过人工方式提示员工进行密码更新,将合规性要求嵌入到工作流程中,或者强制设置系统更新周期以求通过软件和技术获得保护。 受访的部分组织做得更好。它们积极开展试点计划,根据不同部门的特定流程或数据访问需求量身定制。此外,当员工收到可能包含恶意代码的网络钓鱼电子邮件或附件时,安全团队能够通过主动防御系统及时监测并进行干预。 将游戏纳入培训研讨会还可增加接受度、加深印象、提高学习效率,比如员工可扮演不同的角色来展示网络犯罪时如何发生的并应该怎么预防,建立共同的目标和社区意识。个性化的培训研讨会包括Q&A等互动元素,可通过专属T恤、帽子或礼品证书等方式激励安全意识得到提升的员工。
方法六:加强董事会的参与度
网络安全威胁将带给企业看得到的财务、运营、法律和市场风险。处理任何威胁(无论是与技术有关还是其他方面)都是董事会的责任范畴。
在认识到网络安全文化的现实状态和理想目标存在显着差距的组织中,三分之一的受访者认为缺乏高管支持是主要的绊脚石。将网络安全文化充分融入到内部时遇到的障碍还包括资金不足、组织目标冲突以及员工/团队风格、文化或地理分割造成的影响。这些受访者都遇到过业务问题和竞争劣势,例如数据泄露、法律/监管处罚、品牌信任度下降、员工敬业度变低以及客户流失率高等。
成功构建网络安全文化的组织在高层推动上有着共同点,比如高层管理人员以身作则加强自身行为规范,亲自担任网络安全团队领导,参加在各类网络安全讨论活动,优先分配预算支持,聘请顾问,并进行研究以评估企业风险和能力等。 为了获得这种支持,专家建议CISO和CIO通过抛出一些引人注目的商业案例来阐述对网络安全问题的理解和担忧。他们应该详细说明安全问题将如何影响企业资产、新产品开发、市场战略以及企业使命等方面。