完善网络风险防范,保障未来发展:网络安全形势调查报告
第 9 章:完善安全文化
毫无疑问,实施适当的网络安全解决方案是抵御和化解威胁的关键。不过,许多企业也需要推动文化变革。营造更浓厚的网络安全文化有助于企业应对日益增加的威胁,同时缓解预算紧张、人才短缺和相互冲突的优先事项带来的各种挑战。
需要哪些类型的文化变革?首先,安全领导者必须加深理解和提高意识。员工需要了解攻击是如何发生的。他/她们必须接受关于网络钓鱼攻击、凭证被盗、Web 攻击、分�布式拒绝服务 (DDoS) 攻击以及 zero-day 漏洞利用的培训,这些威胁可能导致企业运营中断。他/她们应该接受培训,了解如何识别攻击以及如何以最佳方式向安全部门报告攻击事件。
与此同时,员工应该了解防范网络攻击的重要性。他/她们应该知道,攻击得逞可能会产生广泛的影响,包括品牌声誉受损、客户流失,以及重大财务损失。
此外,员工必须了解,为什么其不应该自行安装新的应用或想方设法规避安全策略。一些精通技术的员工可能认为,自己可以更轻松、更快捷地解决看似微不足道的技术难题。但是,使用影子 IT 可能会让所在企业面临严重的风险。
安全团队在对员工进行培训时,应该明确指出,维护企业安全是全体员工的共同责任。员工通常是抵御威胁的第一道防线。赋予员工识别和报告事件的能力,可能会在预防违规行为方面发挥关键作用。
成功地分担企业安全责任,最终可以缓解许多公司面临的预算不足和人员短缺挑战。例如,当员工能够更好地识别网络钓鱼攻击时,他们不太可能上当并无意中泄露自己的凭证,从而避免为犯罪分子打开方便之门。成功的网络钓鱼攻击数量减少,则安全团队必须处理的漏洞数量也会减少。
提高意识并加深理解必须扩展到高管层和董事会。如果安全领导者能够为其他高管和董事会成员讲解攻击的普遍性及其可能造成的巨大危害,他们就能争取对以安全为重点的计划和政策的支持,并获得增加安全预算的审批。
提高高管的安全意识也有助于培养拥护者,即:倡导全公司员工改变态度和行为的有影响力的领导者。拥护者可以激励员工内化安全价值观并采纳关键政策。
当公司拥有强大的安全文化时,首席信息安全官 (CISO) 可以更加积极主动,大力推进安全计划并加强防范,而不必等待攻击事件的发生。
营造健全的网络安全文化可以带来切实的网络安全效益。在最新的 Forrester 调查研究中,大约 60% 的受访者表示,企业文化的改善使其团队在过去一年中能够更快速地响应事件。许多企业都在努力加强防范未来攻击,因此,提高员工的安全意识并加深理解可能是企业能够做出的最佳投资之一。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
关键要点
阅读本文后,您将能够了解:
来自于 4000 多名网络安全专业人士的调查结果
关于安全事件、准备工作与结果的新发现
CISO 应考虑哪些因素,以保障企业未来发展并改善业务成果