保障未來:網路安全準備狀態報告
第 9 章:改善安全文化
毫無疑問,實施正確的網路安全解決方案對於應對威脅至關重要。然而,許多企業還需要在公司文化方面做出改變。培育更強的網路安全文化,有助於抵禦日益增加的威脅,同時也能緩解預算受限、人才短缺與優先事項衝突等挑戰。
需要做出哪些方面的文化改變呢?安全領導者首先必須加強員工的理解與認知。員工需要接受教育,瞭解攻擊是如何發生的,瞭解網路釣魚詐騙、帳號認證盜用相關資訊,以及瞭解網頁攻擊、分散式阻斷服務 (DDoS) 攻擊和零時差漏洞等可能導致業務癱瘓的威脅。他們還應接受訓練,知曉如何辨識攻擊,以及如何最有效地向安全部門舉報。
同時,他們應該瞭解防止網路攻擊的重要性。他們應該知道,成功的攻擊可能會帶來諸多後果,包括品牌聲譽受損、客戶流失和重大財務損失。
此外,員工也必須瞭解為什麼不應該自行安裝新應用程式,或試圖繞過安全政策。一些熟悉科技的員工可能認為,自行解決看似微小的技術問題更簡單、更快速。但透過參與所謂的「影子 IT」行為,他們可能會讓企業面臨重大風險。
在安全團隊對員工進行教育時,應該清楚地傳達一個觀念:企業的安全是大家共同承擔的責任。員工通常是抵禦威脅的第一道防線。賦予員工識別與通報安全事件的權能,能在防止安全事件發生中扮演關鍵角色。
成功實現企業安全責任的共擔,最終能夠緩解許多企業面臨的預算與人力資源挑戰。舉例來說,當員工能更有效地辨識網路釣魚攻擊時,他們就不太可能落入這些陷阱,也不會在不經意間洩露認證,讓犯罪分子有機可乘。而網路釣魚攻擊的成功率降低後,安全團隊需要處理的安全事件數量也會相應減少。
提升認知與理解必須一路延伸至高階管理層與董事會。當安全領導者能夠向其他高階主管與董事會成員說明攻擊事件的普遍性,以及這些攻擊可能造成的嚴重危害時,他們就能獲得對以安全為導向的計畫與政策的支援,並爭取到更高的安全預算。
提升高階主管的安全意識,也有助於培養「資安倡導者」——也就是那些具有影響力的領導者,他們能推動整個企業在態度與行為上的轉變。這些倡導者能激勵員工將安全價值觀內化,並主動落實關鍵的安全政策。
當一家公司擁有強大的安全文化時,CISO就能更具前瞻性地行動。他們可以主動推動安全計畫,強化整體防備能力,而不必等到安全事件發生才有所作為。
建立強大的網路安全文化,能帶來實際且可衡量的網路安全效益。在最新 Forrester 研究報告中,約有 60% 的受訪者表示,過去一年中,企業文化的改善讓他們的團隊能更快地應對安全事件。隨著越來越多企業努力加強對下一波攻擊的防備能力,提升員工的認知與理解,可能是他們所能做出的最佳投資之一。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
重點
閱讀本文後,您將能夠瞭解:
對超過 4,000 �名網路安全專業人士進行調查所取得的結果
關於安全事件、準備狀態和成果的新發現
CISO 為保障組織未來和實現更好成果的考量事項