本文探讨了首席信息安全官(CISO)如何在组织内塑造“安全为先”的组织亚文化,强调了领导力在安全文化建设中的重要作用,概述了“以人为中心”的安全控制策略以及营造心理安全感...
由于优先事项安排不当和预算使用效率低下,许多组织仍然易受攻击。
想通过传统的安全意识宣贯与培训手段来改变员工的风险行为,最终降低人为因素安全风险,几乎没有效果。本文详细拆解了“安全学习曲线(SLC)”模型,为安全意识与文化专业人士...
我们已经到了一个关键的转折点。传统的网络安全策略已经不再奏效。我们需要一种全新的思维方式,一种能够适应不断变化的威胁格局的方法。
本文详细拆解了 “行为改变轮 (Behavior Change Wheel) ”理论:COM-B核心行为系统、九大干预功能 /措施、七大政策类别/手段。为安全意识与文化专业人士成功实施员工风险行为...
企业安全需要关注作业流程和业务流程数字化相关的业务安全风险。突破企业安全认知的边界,完善企业安全需求。产业则更应该从企业安全的真实需求出发,关注业务安全带来的企...
从技术实现(零信任、OWASP、STRIDE)、战略规划(多云架构、威胁建模)到组织协作(合规推演、跨团队影响)三大维度,梳理安全架构师的核心能力要求及常见面试问题。
作业流程关注的不是流程管理的决策节点,而是岗位具体工作作业过程的行为分解。
不要依赖监管。
作业流程的梳理和设计,作业实践的调研和记录,作业流程记录数据的分析,监控与预警构成业务安全驱动的数据安全。
你的组织是否有无法通过现成工具解决的独特需求?你是否有足够大的团队,可以在不立即产生价值的情况下,投入大量时间进行战略性投资?
基于业务驱动的数据安全工作的开展,显然需要实践基础上理论抽象的新的方法论。
4个关注领域。
对大多数网络安全和数据合规出身的数据安全团队来说,既有业务理解的鸿沟,也有职责和权限不足的制约。
厂商驻场服务如何达成网络安全部门,人力资源部门,财务部门,管理层的管理维度共识,仍面临艰巨和复杂的挑战。
大家的根本利益是一致的;用发展的眼光看数据安全;数据安全是每个人的责任…
如何让非专业人士“听得懂”专业的网络安全术语,是安全负责人的必修课、基本功,采用类比、比喻的讲解恰巧是一种比较实用、有效的表达方式!
改变一个人认知行为的方式包括正向强化和负向\x0a惩罚,而惩罚带来的常常是退缩或不作为,使人们不自觉地开启“防御模式”。想要增加所期望的行为,使用正向强化法是更优的选...
在我们迈向未来的过程中,这三个方面对于CISO角色的演变是必不可少的,它们分别是:服务式领导、双轨职业发展路径以及允许失败。
对于工作规划,成熟的的思考及未雨绸缪决定了未来一年的工作目标感、松弛感、成就感,甚至幸福感。即便在未来一年中出现动态变化,有了理性成熟的规划思考,就犹如摇曳中的...
微信公众号
