现在企业已经投入大量资源和时间到安全战略中,那么,企业究竟应如何开始以实际的方式将安全植入企业DNA? 

对某些人来说,这可能看起来很繁琐或者说不切实际,但这样做不只是为了构建网络意识文化,改造企业的DNA结构也是必要的过程。然而,这需要时间和领导层的支持,还需要转变企业问责制,企业的每个人都需要为网络安全负责任。

首先我们需要明确,企业文化和企业DNA之间是有区别的。DNA涵盖与企业相关的一切事物--所有我们甚至没有考虑过的方面。当我们谈论将网络安全植入企业DNA时,即我们希望它成为日常运营的一部分。有限的时间和金钱资源永远不会削弱企业对安全的重视,它必须成为企业发展生命周期的一部分。 

当安全成为损益表的一部分时,它自然会变成企业的优先事项。那么,企业应该具体采取哪些步骤呢?下面提供的方法可帮助重建企业DNA,并让员工、C级别管理人员及董事会更加重视安全。

  • 构建安全团队。无论你利用内部团队资源还是外包,在你的预算范围内总是有得选择。但你首先必须认真对待安全性,并认识到你需要一个安全团队。在构建团队时,确定安全对企业的意义也很重要。企业面临哪些类型的IP(知识产权)风险?数据泄漏对业务会带来什么影响?除了潜在的财物损失外,你还必须考虑声誉成本。你需要花时间回答这些问题,试想一下如果没有安全性,这对客户意味着什么。

  • 制定可衡量的目标。目前所有企业都可设定的可衡量目标是减少威胁或者网络钓鱼攻击的数量,这个数据是完全透明的,整个公司都可查看和跟踪。企业应该设定与员工关联的目标,以便他们了解安全以及他们的行为对企业的影响。按月测量以确定员工培训是否有限,同时,当发现有人不断点击钓鱼邮件时,请执行其他操作。员工需要自己思考他们每天在做什么以及他们的行为如何帮助实现企业目标。内部行为会导致数据泄漏事故,而教导员工思考安全将会减少他们潜在地泄漏企业信息的可能性。

  • 在入职过程中开始考虑安全性。 安全培训并不是一次性的练习,有效的安全培训应该贯穿整年。如果员工害怕这些安全目标,则应该提供缓解措施来帮助他们纠正行为。企业应该让每个员工参与其中,毕竟安全不仅仅是CISO或者安全团队的责任。企业应该努力消除员工担心因为犯错而被解雇的恐惧断,持续为所有员工提供培训。

  • 为安全团队安排外援。 企业应利用所有员工的优势来协助安全团队。如果每个团队都有一位安全倡导者来传达安全目标,这将事半功倍。这些安全外援可在自己部门内问答问题或者解决问题,这些安全团队的外援可进一步提高员工的安全意识。

实现安全目标是激动的事情,请记住也会有不好的事情发生。员工想要做正确的事情并对企业有所帮助,但也会有犯错的时候,所以务必要利用可教育的时刻。这将是真正让员工学习和激动的时刻,不要低估奖励机制对促进沟通的重要性。

与很多企业一样,你可能不知道从哪里开始,因为安全不是简单的问题。请接受自己的不知所措,然后逐步让安全成为企业首要任务。  

当然,如果没有C级别管理人员和董事会的支持,这也行不通。这是一种颠覆性的改变,需要很多高层支持,否则,安全将是一场艰难的战斗。

本文翻译自SecurityMagazine

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。