可访问版本 INSTITUTE 转型 创建以安全为中心的组织 2024年3月07日 关键要点 由于威胁格局的不断变化,公司必须继续推进他们的安全方法。2022年,美国各地有1800多起数据泄露事件,比大流行前一年多63%,企业领导人面临越来越大的压力,要求实施随着业务实践而演变的网络安全控制。 如今,适应性是强大的安全文化的关键。公司应该专注于技能,使员工能够培养一种心态,将安全视为一个需要不断审查的不断发展的目标,而不是一种“设定并忘记”的方法。强大的安全文化涵盖了基础知识,但不会止步于此。 我们确定并探讨了建立适应性,安全第一的公司文化时要考虑的五个原则:能力,协作,沟通,教育和授权。 适应性:有效网络安全文化的关键 一家公司在保护其最重要资产方面对自己的看法(例如Procedre,机密数据,操作系统或内部网络)是通常称为“安全文化”的功能。“今天,每个行业 的企业都依赖于知情的工人,就像他们依赖于强大的协议和有效的网络安全工具一样。但究竟是什么定义了适应性和有效的网络安全文化? 答案并不明确。事实上,2020年的一项研究发现,虽然94%的受访组织认为建立安全文化是一个重要的业务目标,但对于哪些指标可以衡量这种文化的有效性,人们几乎没有达成一致。 在《网络安全:格局、影响和接下来会发生什么》中,我们讨论了大流行后混合工作模式的广泛采用意味着网络安全控制有时会被绕过,从而导致整个 2022年网络威胁的增加。实际上,在那一年中,美国发生了1800多起数据泄露事件,比大流行前的一年增加了63%2,美国每次事件的平均成本为420 万美元,是17年来的最高水平。 然而,尽管威胁格局不断变化,或者可能是由于威胁格局不断变化,但有一件事是明确的:适应性是一项基本原则,可以帮助任何企业建立适应挑战并能够有效利用新方法和工具的网络安全文化。 公司应该将安全性视为不断变化的挑战和业务要求。随着安全专家建立新的工具和方法来检测和响应威胁,业务目标和文化必须跟上。随着工作流程、技术工具和威胁格局的转变,公司需要专注于保持适用于每位员工的凝聚力方法,无论他们的角色、资历或责任级别如何。 这种始终在线、动态的方法可以被描述为一种“适应性安全文化”,这种文化应该在全公司范围内形成,以增强技术工具和员工准备创建分层防御。此外,工作场所的巨大变化为企业建立强大的文化提供了一个独特的机会-或者使其比COVID-19大流行影响之前更具弹性和定义。 1KnowBe4和ForresterConsulting,“安全文化的崛起”,2020年4月。 2 身份盗窃资源中心 32021年数据,2022年数据泄露成本报告,IBM 识别机会 为了进一步阐明对适应性安全文化的需求,公司必须首先确定可能影响其工作方式的趋势,确定数据的优先级,并培训员工,并注意这些趋势如何对员 工队伍和业务目标产生直接影响。 技术继续改善-双方。对云、网络、端点和智能设备的防御已经变得更加复杂,这意味着针对人类(可能疲劳、过度劳累或毫无戒心)的社会工程策略仍然有效,并受到不良行为者的欢迎。此外,人工智能/机器学习和虚拟现实的技术进步对任何人都是可用的,犯罪分子将继续利用它们来解决现代防御问题。请参见警告:安全第一!了解更多。 混合和远程工作变得并且仍然很普遍。在大流行期间,许多行业的公司网络被迫扩张,许多公司永远不会回到专门的办公室工作安排 ,这就需要保护虚拟网络并实施更严格的身份验证方法。 数据是新的前线。从智能设备和机器、合作伙伴公司、客户和许多其他类型的第三方收集的数据对企业至关重要-它越来越多地存在于企业的传统安全范围之外。因此,许多企业依赖于先进的方法来对数据进行优先级排序、存储和传输,以及在数据所在的任何地方进行保护。 营业额减少了机构知识。美国联邦储备委员会报告说,在大流行期间,实际退休人数超过了预期的260万。4许多退休人员带走了宝贵的文化知识,不仅造成了差距,而且为向替代他们的工人灌输安全做法和优先次序提供了机会。 评估当前做法 建立和实施适应性安全文化的第一步是了解当前重要实践的位置,并确定成功的安全文化对企业意味着什么。一般来说,当员工经常考虑他们的工作和责任 时,安全文化可能会接近成熟,因为他们可能会影响公司的防御,同时也理解安全文化会随着时间的推移而发展。整个组织的普遍假设应该是,安全意识和适应性是业务目标和弹性的组成部分。 为了评估他们目前的业务状况,寻求丰富其安全文化的公司领导者可以通过检查和回答几个基本问题来评估他们目前的方法: 该公司目前如何创建一个适应性强、可更新的安全教育计划? 企业坚持有限的测试和培训材料并不罕见。例如,根据一项分析,网络钓鱼尝试在2022年比2021年增加了61%,这可能证明需要加强培训和提高 认识。 公司应该问问自己培训材料和测试的最后更新时间,以及行业中是否存在未反映在培训中的新威胁。他们还应确保探索讨论威胁和适当程序的其他方法(例如Procedre,非正式讨论,更高级的培训),以及培训鼓励员工积极主动地思考安全问题,并提出后续问题。 公司的安全状况是否反映了扩展的范围和新的数据保护要求? 在大流行期间,许多公司出于必要而改变了工作安排,并强调业务功能的连续性而不是安全性。但是,现在,如果企业在远程或混合工作中发现了持续的 价值,则应进行相应的安全协议更新。领导人现在应该考虑,随着安全边界的定义不断变化,是否已经对数据的传输方向进行了充分的审查,以及如何最好地保护数据。 公司安全实践是否与业务目标和企业文化相一致? 独立于个人协议和流程,公司应该审查如何谈论它所面临的威胁,以及如何最好地促进对员工在工作时应该期望的全面理解。 4 5圣路易斯联邦储备银行,“COVID-19大流行期间退休人数增加:谁退休了,为什么?”2022年3月30日。 安全杂志,“到目前为止,2022年的网络钓鱼攻击超过255M,”2022年10月26日。 公司有不同的商业模式和目标,需要接受—和保护免受—非常具体的风险。例如,医疗实践’美国最大的安全挑战可能是安全地存储患者数据,而与供应商安全通信可能是制造公司的首要任务。 是否以业务目标和结果的方式讨论安全?是否以与公司谈论其销售、运营或人力资源文化相一致的方式讨论安全文化? 值得注意的是,即使是最具适应性的安全文化也不是万无一失的。此外,向员工提供过多的信息不会使他们对公司保持警惕,以安全为重点的资产。企业领导者将不断需要寻找方法,使培训身临其境,差异化和有趣,以根深蒂固的信息,即良好的业务取决于安全的实践。即使在强大的文化中,也需要时间来培养行为并最终创造一种适应性强的、安全第一的心态。 实施以安全为中心的文化:适应性的五大支柱 无论是公司试图将更高水平的网络安全意识纳入其文化,还是建立自适应安全文化,都有几个关键的机会领域。虽然这些领域经常重叠,但定义它们可 以帮助任何员工以新的方式思考自己的角色,或者帮助他们成为同事中的安全倡导者。 每个公司都应该以反映其不断变化的业务需求,目标和文化的方式谈论网络安全。因此,无论公司的网络意识多么成熟,基于以下五个原则的框架都可以提供一个很好的起点。此外,我们确定问题,以帮助组织和他们的员工建立一个以安全为导向的公司文化。’适应不断变化的威胁和不断变化的业务优先级和目标。 1.能力 为了使公司文化真正具有适应能力和响应能力,它需要选择的工具不仅是因为它能够帮助员工以安全的方式完成工作,而且还因为它对员工当前工作方式和地点 的适应性。 例如,如果一家公司允许混合或完全远程工作计划,员工需要有助于安全登录、最新设备管理以及有效跟踪和保护数据的工具和流程。如果这种文化是协作和安全意识的,那么工人将更容易传达这些能力为他们服务的程度,领导者和专家将更容易评估工人对可用保护措施的熟悉程度。 重要的是,应始终根据业务目标开发功能。投资于不保护公司依赖或不依赖的数据的工具或流程几乎没有什么收获’与正常活动保持一致。公司应该问的问题包括: 您的工具是否为员工提供最新的安全性,以保护公司所依赖的设备和数据—不管他们在哪里工作? 这些工具是否符合您的业务目标? 您是否有适当的流程让员工沟通您的工具和能力为他们提供了多好的服务? 您是否有适当的流程让领导者衡量员工对可用安全功能的熟悉程度? 2.协作 企业依靠可重复的流程,但健全的流程通常起源于非正式的头脑风暴会议。一起工作的员工应该有机会讨论他们需要什么来安全地执行工作并相互支持 ’s角色。 在某种程度上,这可能意味着对具有安全影响的错误更加透明和公开,当然应该包括共享有关行业网络新闻的最新信息。如果安全流程已经到位,同事可以安排定期午餐或创建内部消息传递线程,可以坦率地讨论流程的好处和局限性。 协作还可以帮助消除使公司中的安全专家与其他员工隔离的障碍。各种规模的公司可以鼓励对话,而非专家可以提出问题并讨论当前流程的局限性,而不是专注于专家告诉员工不要做什么的单向沟通。重要的问题是: 您是否定期为员工安排跨部门头脑风暴会议,以讨论创建安全工作环境所需的内容? 您是否有适当的流程来共享有关行业网络新闻的最新信息? 您是否有方法让员工就当前的安全流程提出问题或提供反馈? 你有一个简单的方法让员工报告可能的安全漏洞或错误’我做的可能会有安全隐患? 3.通信 与任何业务目标一样,必须以与组织,其优先事项以及其所在行业相一致的语言来讨论安全性。对于公司领导者来说,这也必须是定期的沟通主题 ,他们应该在消息传递中抓住每一个机会,将安全性与公司的整体健康状况和成功联系起来。 领导层可以通过在培训课程和测试练习中取得进展来强调安全的文化重要性。但员工也应该放心,他们会因为直言不讳而受到重视,即使这意味着承认错误或就安全监督或有缺陷的流程提供建设性的反馈。公司领导应该问自己以下几点: 当您与员工就安全性进行沟通时,您是否使用与您的组织一致的语言’你的优先事项和你所在行业的优先事项? 安全是所有公司领导人之间经常沟通的话题吗? 领导者在与员工沟通时,是否将安全性与公司整体健康和成功联系在一起? 您的员工是否因谈论安全而感到受到重视—是否报告自己的错误或提供建设性的反馈安全监督或有缺陷的过程? 4.Education 与教育和培训活动相比,几乎没有哪个领域可以为公司提供更好的机会来强调文化转变和安全优先事项。劳动力构成的变化—例如,终身雇员退休和增加新雇员—有助于提高对教育和培训的要求,以恢复平衡。 但是培训必须高度针对公司’的劳动力和业务功能是有效的。它应该是为员工量身定制的’了解技术和安全,并反映大多数人如何做出决定—它必须定期更新,以反映新出现的威胁。 企业还可以考虑桌面练习或模拟事件,以帮助员工可视化真正的网络事件可能如何发生并思考其特定响应的步骤。领导层可以通过定期更新有关安全实践和行业特定威胁的培训来加强培训,或通过衡量员工程度的调查’没有来自正式测试的压力的网络安全知识。以教育为重点的问题,包括: 您的安全教育和培训计划是否针对您的特定员工和业务职能量身定制? 您是否定期更新教育和培训,以反映新出现的威胁? 您是否包括桌面练习或模拟事件,以帮助员工可视化网络事件可能如何发生以及他们应该如何应对? 您是否定期测试员工避免网络风险的做法? 5.赋权 当员工认为安全是次要考虑因素时,或者其他人’由于任何员工都有可能在不知不觉中引发网络事件,因此每个员工都需要了解他们角色的重要性,以 及他们如何为安全的工作和商业环境做出贡献。 因为分心和疲劳经常被认为是网络事件的原因,所以当员工收到可疑的电子邮件或请求时,他们应该觉得放慢速度是合理和有价值的。例如,必须授权付款的员工应该觉得他们有酌情权采取行动—或延迟行动—直到他们可以确认请求的合法性。如果该员工在以安全为中心的文化中工作,他们将习惯于超越简单地完成任务。 实际上,根据一项研究,82%的数据泄露涉及人