推动安全意识计划的七大要素
近几年来,安全意识计划的重要性似乎迅速提高,企业分配的资源也随之增加。
下面是安全意识计划最需要的几个相关要素。如果首席安全官希望在企业中顺利推动安全意识计划,最好能注意这几个重要步骤。
1. 得到高管的支持
得到高管的支持势必会带来更大的自由、更多的预算以及其他部门更有力的支持。任何负责安全意识计划的人应该首先至少尝试获得有力的支持,然后专注于其他事情。
没错,获得这群人的支持可能很难,不过某些最佳实践可以提高成功机会,包括重点表明这个事实:安全意识是合规所需要的,加强安全意识势必会为公司省钱。制作专门给高管看的材料(比如业务通讯和简短文章),重点列出相关的新闻和技巧,也有助于获得这种亟需的支持。
2. 与关键部门合作
成功的安全意识计划想方设法让其他部门参与进来,比如法务部、合规部、人力资源部、营销部、隐私部和安全部。如果你已经得到了高管的支持,那么得到这种机会来得更容易,这些部门常常有着共同的利益,乐于提供额外的资源,比如资金或分发的材料。这些部门常常将安全意识工作视为必需的。比如说,法务部和合规部在整个企业中有很大的影响力,可能将安全意识列为其他流程(比如新员工灌输安全理念)的一个必要部分。
要获得这种支持,你可能需要将这些合作部门的要求与总体的安全意识工作兼顾起来。比如说,你可能认为可以使用加强安全意识的业务通讯,添加合规方面的内容。如果你得到了所需的支持,那么绝对值得下力气去做。
另外值得一提的是,大多数企业组织要求其他部门参与进来。比如说,你可能需要公司公关部审批材料并分发给员工;它们可能制定政策,规定了如何分发材料以及那些材料的格式。你要尽快发现诸如此类的问题。
3. 确保有针对性
大多数安全意识计划似乎是一套标准的计划,仅限于逐项打勾,内容取决于一系列基于计算机的培训视频。正如叙利亚电子军队(Syrian Electronic Army)试图攻击本刊表明的那样,专注于及时信息的安全意识计划可以成功地防止攻击。
不过,这些攻击不一定立马攻击贵企业。密切相关的信息方面有好多素材。WannaCry就是个典型的例子,它表明与网络安全有关的问题得到了主流的关注。针对主要零售商的黑客攻击是表明安全问题主流化的另一个例子。贵公司的安全意识计划应经常利用这些攻击,表明你开展的安全意识工作有多重要。这反过来会激励用户遵循你给出的建议。
4. 评估成效
安全意识计划成功的关键因素之一是,能够证明你开展的工作有成效。唯一的方法是在开始新的意识计划之前收集衡量指标。要是不确立基准,很难证明你的工作确实取得了成功。
衡量指标包括态度方面的调查,还可能包括在意识培训前后使用网络钓鱼模拟工具。你还可以仔细分析向求助台报告的安全相关事件的数量、病毒事件的数量,或者来自Web内容过滤器的报告(表明企图访问被禁止的网站的次数)。如果你能表明在安全的任何一个方面得到了可衡量的改进,就能更有力地证明开展计划的必要性,并获得额外的资金和支持。公司的几乎每个部门都要证明自身价值,安全部门也不例外。
5. 成为注重实际指导的部门
安全部门似乎往往是“说不的部门”。它们专注于告诉员工不该做什么,而实际上员工会设法做自己想做的事情。虽然我承认显然有一些行为是应该禁止的,但那些应该是例外,而不是常规。
专注于如何安全地采取行动的安全意识计划比那些专注于告诫员工不要采取行为的计划来得更成功。理想情况下,安全意识计划应告诉员工如何在办公室和家里安全地使用或处理信息。比如说,不是告诉员工他们不该上社交网络,而是要教他们如何安全地使用社交网络。
6. 对安全意识给予奖励
建立奖励体系,根据员工的实际行为给予奖励。虽然所有企业组织实施这种全面的游戏化计划可能不切实际,但还是有机会落实一些激励措施,对适当的安全行为给予奖励。
比如说,你可以对报告潜在的安全事件给予奖励。这种行为可能包括报告网络钓鱼模拟消息。找尽可能多的方法,好让用户展示良好行为,并建立一套适当的奖励体系。
7.使用各种工具来加强安全意识
虽然基于计算机的培训模块有一席之地,但是太多的安全意识计划完全依赖它们。最成功的计划整合加强安全意识的各种工具,包括业务通讯、海报、游戏、新闻源、博客和网络钓鱼模拟等。参与性最强的计划似乎成效最显著。
另一个需要考虑的问题是,材料应该考虑到用户的不同年龄段。你的材料要多样化,好吸引尽可能多的用户。绝对没有所谓的“一应俱全式”的安全意识计划。
结束语
本文绝不是完整地列出所有项,而是一个很好的起点。记住,习惯推动安全文化,没有什么技术可以弥补薄弱的安全文化。如果实施得当,安全意识计划可以提供逐渐灌输正确行为的知识。虽然大多数安全专业人员认为良好的安全行为是个常识问题,但事实上,常识基于需要更加普及开来的普遍知识。
关于作者
Ira Winkler “(ISC)²注册信息系统安全专家、Secure Mentem公司总裁。 其著作有《高级持续安全—-用网络战的方式实施自适应企业防护、检测和响应战略》。