当前,全球网络安全形势复杂多变,几乎每天都有新的漏洞和威胁出现。然而,令人吃惊的事实是,大部分数据泄露事件并不是高深的黑客攻击技术造成的,而往往是有意或无意的“人为错误”造成的。只需要一名员工点击了一封钓鱼邮件,就可以为恶意攻击者提供侵入企业信息系统的入口。为了确保网络安全,任何一家组织需要的绝不仅仅是最先进的安全技术防御,管理好“人为因素”风险同样至关重要。

网络安全文化概述

在本文中,我们将组织网络安全文化简化定义为“组织中全体成员共同形成的一种保护和捍卫组织免受网络攻击的态度、信念价值观”。它是组织内部构建的一种社会心理环境,能够影响和指引员工的日常行为方式和决策过程。

由于网络安全不仅仅是一个技术问题,组织还需要依靠每一位员工的行为来预防和保护组织免受潜在的网络攻击。最终,员工行为是造成或减少网络安全风险的关键因素。而员工的行为方式又是由个人看待安全的态度、内心深处的安全价值观和信念等因素所驱动的。换句话说,员工在网络安全问题上表现出的各种思维方式和行为习惯,往往能反映出他/她的“安全观”。例如:对于安全意识培训,员工是否积极参与,是否认真完成?对于安全规章制度,员工是否理解和遵从,还是出于工作便利或屈从上级权威而绕过或违反安全制度?对于钓鱼邮件,员工识别出来后仅仅是自行删除(只要自己不中招就行),还是第一时间上报?在生活场景中,员工是否随意连接公共场所的Wi-Fi或随意扫描二维码等等?

网络安全文化是组织网络弹性的基石,它塑造了员工在日常工作中的安全思维方式、行为方式和与他人互动的方式。在强有力的网络安全文化的影响下,组织内的所有成员通过安全意识和安全行为将自己“武装起来”,与安全团队形成联防联控的“统一战线”。最高管理层有着特殊的安全责任去理解、支持和塑造组织的网络安全文化,使整个组织成员的安全态度、信念、价值观与总体安全目标和业务目标保持一致;各部门中层不讲条件、不打折扣地落实安全责任,提升自身和下属的安全意识与防御能力,做好基层和管理层之间的安全沟通工作;一线基层员工切实将安全意识与安全行为融入到日常工作中,努力将“人”这一“最薄弱的环节”的刻板印象转变为“最强大的防线”。随着网络安全文化成熟度的逐步提升,组织遭受内外部安全威胁的可能性和损失将大大减少。尽管网络安全文化至关重要,但令业界头疼的是:它常常难以塑造和评估。本文基于理论研究和实践经验,提供了一套易于理解的网络安全文化建设“三层次九要素”框架,供业内参考、探讨。

网络安全文化的三个组织层次

网络安全文化建设的三个组织层级可分为领导层、团队层和个人层

组织中的领导层(最高管理者)在塑造和传播组织网络安全文化方面发挥着重要作用。领导层不仅是网络安全战略和安全文化资源投入的决策者,也为其他人树立了影响安全认知和安全行为的榜样。当员工看到领导层努力将网络安全注入组织文化基因,将安全视为不可妥协的核心优先级事项(既重要又紧急),从中层管理者到一线员工也会受到感染,从而在整个组织内部凝聚起维护网络安全的一致共识和力量。网络安全文化在领导层的质量好坏大致可以从三个方面来理解和评估:

  1. 安全优先级:当领导层将安全问题与发展问题置于同等重要位置时,或当面临权衡时,“安全高于一切”是唯一答案时,从战略决策、规章制度、人员配备、预算和资源分配等都会向安全倾斜。领导层将网络安全作为自己的优先事项,也会影响组织中其他人对网络安全重要性的看法。

  2. 安全参与:是指领导层在保障网络安全方面的主动参与行为和活动。这种参与不仅包括自觉遵守组织的安全制度和程序,不搞特权,也包括将安全作为管理层会议常态化话题,积极参加安全意识培训、安全应急演练、安全日/周/月活动,主动面向员工沟通安全策略,鼓励和表扬员工的安全行为等等。领导层在行为和行动上身先士卒、以身作则,可以激励和影响更多员工。

  3. 安全知识:是指领导层所掌握的网络安全相关知识、技能与胜任能力。由于领导层通常掌握着组织核心敏感数据和商业机密,是黑客眼中的高价值攻击目标。弥补自身的安全知识短板,有助于增强应对网络威胁的“免疫力”。随着领导层对安全的理解加深,会更有同理心,产生更强的安全信念。

在团队层面,一家组织由不同的业务线/部门/团队组成,在组织使命、核心价值观和愿景的感召和指引下,依据战略目标和安全目标,制定出业务线/部门/团队的绩效计划,与其它兄弟部门进行协作、交流和创造,共同完成组织的既定目标。不同团队在网络安全问题上可能又存在着不同的群体态度、信念和价值观。网络安全文化在团队层的质量好坏也可以从三个方面来理解和评估:

  1. 团队安全认知:指的是团队内部成员在工作中形成的对待网络安全的集体观念。每个团队都有自己认可的、不成文的安全规范、行为准则和决策方式,也影响着群体中个人的安全认知。许多经典理论(如:社会控制理论、计划行为理论、技术接受模型)都强调了社会环境对个人态度和信仰的影响。很多网络安全文化成熟度高的组织都会推行网络安全大使计划,就是利用社会动力与能力,借助周围人的影响力来影响和激励更多员工。

  2. 内部合作意识:也就是一种协同作战应对内外部安全威胁的能力,是团队成员之间相互支持、相互配合、共促共进的一种精神。网络安全是一项团队活动,团队中的每个人都有责任和义务参与安全、维护安全。当发现安全威胁时或团队中有人掉队落伍时(在思想上或行为上违规),团队其它成员能够及时沟通、指导敦促、分享信息、共担安全责任。

  3. 跨部门/团队协作:是指组织内部不同部门之间紧密协作,共同巩固网络安全防线,尤其是成立信息安全委员会(网络与数据安全工作组)、内部人员违规事件调查、安全应急响应、攻防模拟演练及安全日/周/月活动等。在组织范围内打造网络安全文化,如果仅有IT团队/安全团队关心安全,那么这家组织很难实现网络弹性。

网络安全文化的第三个层级是个人层,包括个人对于安全制度/规范/指南的遵从,对于各种安全威胁的理解,以及对于识别、响应和防范安全威胁的自信程度,可概括为以下三个方面:

  1. 合规意识:是指员工在日常工作中充分理解和自觉遵守网络安全相关法律法规、行业监管要求以及组织内部各项安全规章制度,以安全规则作为自己行动准则的的底线意识和行为习惯。这意味着员工即使在没有安全管控或监督的情况下,心里也有数什么是正确的安全行为,什么是违规的风险行为,什么该做什么不该做。除非员工真正理解、认同和遵从,否则再完善的安全制度也是一纸空文。

  2. 风险意识:是指员工对于内外部潜在安全威胁的警觉、认识和理解。风险意识是现代职场人士必备的一种数字素养,能够在网络空间识别、评估和响应潜在的安全威胁,有助于个人更好地应对网络威胁的不确定性,在关键时刻做出更加谨慎的安全决策,减少不安全行为的发生,增加黑客攻击的难度。

  3. 自我效能:是指员工个人对自己掌握和应用IT安全或隐私相关技能的能力的信念和自信程度,是一种直接影响安全行为的心理倾向。员工的网络安全自我效能不仅影响个体如何感受、思考和自我激励,也决定了如何行动,还影响个人在面对安全挑战时的态度和努力程度。积极的自我效能感使员工相信自己有能力识别和响应安全威胁,充分发挥网络安全“人防”的作用,而较低的自我效能感可能导致员工对安全问题消极回避,推卸责任或不作为。

总结

网络安全决策并非完全理性,员工在风险环境中可能会表现出不同的决策偏见。组织网络安全文化是一盏指路明灯,可以潜移默化地影响和指引员工的正确决策方式和行为模式,塑造着组织的整体安全风貌。然而,如何打造网络安全文化是一项复杂而艰巨的长期任务。本文提出的网络安全文化建设“三层次九要素”框架可以帮助安全团队和管理者理清思路,更好地规划、评估和管理网络安全文化建设。

声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。