中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

如何在IT部門中建立安全文化

2021-02-16    分類: 網(wǎng)站建設(shè)

如果IT部門中不存在安全文化,那么在企業(yè)中建立安全文化是不可能的。IT部門應(yīng)該具有廣泛而顯著的安全文化,可以作為企業(yè)所有其他部門的示例。

大多數(shù)公司都認(rèn)為,企業(yè)IT部門或其他部門的內(nèi)部安全專家可以保護(hù)其他99%以上的員工,使其不被懷有惡意的攻擊者發(fā)現(xiàn)對(duì)業(yè)務(wù)敏感或?qū)I(yè)務(wù)至關(guān)重要的信息。不幸的是,許多IT部門都存在同樣的錯(cuò)覺(jué)。95%以上的IT員工認(rèn)為,其安全團(tuán)隊(duì)(可能只占IT員工總數(shù)的5%或更少)將使他們擺脫困境。事實(shí)證明,這些想法很多都是錯(cuò)誤的,而安全威脅仍然存在。

在當(dāng)前普遍存在安全意識(shí)的這個(gè)時(shí)代,幾乎每個(gè)企業(yè)都建立了安全計(jì)劃。安全計(jì)劃包括由企業(yè)的首席信息安全官或高級(jí)安全領(lǐng)導(dǎo)者制定的政策、實(shí)施政策的運(yùn)營(yíng)控制、實(shí)施控制的工作規(guī)則和程序、支持規(guī)則和程序的工具,以及使用工具監(jiān)控的安全運(yùn)營(yíng)團(tuán)隊(duì)規(guī)則和程序,并審查控制的一致性和有效性。這聽起來(lái)很復(fù)雜,但大多數(shù)IT部門都很好地理解了成功的安全計(jì)劃的關(guān)鍵部分,并且在大多數(shù)企業(yè)中都已經(jīng)在某種程度上實(shí)現(xiàn)了。

安全計(jì)劃和安全文化是兩回事。在安全文化中,員工對(duì)其公司面臨的網(wǎng)絡(luò)安全威脅有充分的了解。他們了解在其行業(yè)或市場(chǎng)中運(yùn)作的惡意行為者的動(dòng)機(jī)和意圖。企業(yè)的網(wǎng)絡(luò)安全問(wèn)題和關(guān)注點(diǎn)在業(yè)務(wù)會(huì)議中經(jīng)常討論,例如季度業(yè)務(wù)審查、業(yè)務(wù)戰(zhàn)略會(huì)議、預(yù)算規(guī)劃會(huì)議、并購(gòu)評(píng)估等。它們不僅限于專門針對(duì)安全性的定期會(huì)議,因?yàn)槠髽I(yè)領(lǐng)導(dǎo)者和工作人員了解安全性是日常業(yè)務(wù)運(yùn)營(yíng)的固有部分。在真正具有安全文化的企業(yè)中工作的員工在實(shí)施安全保護(hù)措施方面發(fā)揮積極作用。

有些人可能會(huì)爭(zhēng)辯說(shuō),在多個(gè)地理位置運(yùn)營(yíng)的多元化大型公司中建立真正的安全文化是不可能的,但有大量證據(jù)證明是可能的。大多數(shù)金融服務(wù)公司都高度重視風(fēng)險(xiǎn)管理,并發(fā)展了有效的安全文化。依賴于使用內(nèi)部開發(fā)的知識(shí)產(chǎn)權(quán)的公司,如制藥廠商,他們對(duì)網(wǎng)絡(luò)安全同樣謹(jǐn)慎。在許多大型跨國(guó)公司中存在著廣泛而引人注目的安全文化。

IT部門應(yīng)該樹立榜樣

如果IT部門尚未存在這樣的文化,那么在企業(yè)內(nèi)部建立安全文化是不可能的。IT部門負(fù)責(zé)可能被惡意行為者操縱的路徑和流程的安全,以避免在網(wǎng)絡(luò)安全防御中發(fā)揮核心作用。如果IT部門沒(méi)有認(rèn)真對(duì)待其網(wǎng)絡(luò)安全職責(zé),那么在整個(gè)企業(yè)中建立這樣一種文化真的有什么希望?

雖然IT部門無(wú)法獨(dú)立建立企業(yè)范圍的安全文化,但它應(yīng)該提供其他職能部門可以模仿的這種文化的示例。不過(guò)這種情況很少發(fā)生。有很多的IT部門將安全職責(zé)委托給一小組安全專業(yè)人員,而其他工作人員在很大程度上忽略了這些安全職責(zé)。安全團(tuán)隊(duì)以外的許多IT團(tuán)隊(duì)經(jīng)常拒絕、忽視或辯論將更嚴(yán)格的保護(hù)措施納入其現(xiàn)有技術(shù)堆?;虿僮鞒绦虻闹噶?。此外,當(dāng)被要求協(xié)助解決與安全有關(guān)的審計(jì)問(wèn)題或?qū)μ囟ò踩录幕貞?yīng)時(shí),個(gè)別工作人員表達(dá)沮喪或漠不關(guān)心的情況并不少見(jiàn)。安全培訓(xùn)通常被認(rèn)為是浪費(fèi)時(shí)間以及占用個(gè)人其他更緊迫工作的行為。

建立安全文化

IT領(lǐng)導(dǎo)者如何在自己的組織內(nèi)建立安全文化?以下有六個(gè)觸發(fā)因素,如果它們持續(xù)執(zhí)行,將產(chǎn)生預(yù)期的結(jié)果。

1.教育。教育工作人員識(shí)別威脅企業(yè)的惡意行為人的一般身份。討論在其他公司發(fā)生的類似產(chǎn)品、服務(wù)、運(yùn)營(yíng)模式或市場(chǎng)違規(guī)的案例。確保他們了解惡意行為者過(guò)去使用的主要途徑,例如滲透網(wǎng)絡(luò)或泄露敏感信息。

2.管理。建立優(yōu)先的網(wǎng)絡(luò)漏洞列表,通常稱為風(fēng)險(xiǎn)登記。讓盡可能多的IT團(tuán)隊(duì)成員加入到列表中,并確定已知漏洞的優(yōu)先級(jí)。為風(fēng)險(xiǎn)登記冊(cè)上最多產(chǎn)或最有洞察力的貢獻(xiàn)者提供獎(jiǎng)勵(lì)和表彰,以此作為鼓勵(lì)他人做出貢獻(xiàn)的一種手段。

3.談?wù)?。任何一個(gè)領(lǐng)導(dǎo)者如果每天自發(fā)地表現(xiàn)出對(duì)安全相關(guān)的話題的興趣或關(guān)注,很快就會(huì)發(fā)現(xiàn)他們的同事和下屬也在這樣做。工作人員從他們的領(lǐng)導(dǎo)那里得到暗示,無(wú)論是有意識(shí)的還是下意識(shí)的。

4.衡量。安全指標(biāo)設(shè)計(jì)起來(lái)很棘手。IT人員可以專注于企業(yè)范圍內(nèi)的安全保障措施的實(shí)施或其有效性。出于可以理解的原因,許多公司不愿廣泛傳達(dá)其保障措施的有效性,如果不能與員工或管理團(tuán)隊(duì)成員共享,則其指標(biāo)不太可能影響員工行為。

5.個(gè)性化。利用每一個(gè)可能的機(jī)會(huì),在員工作為互聯(lián)網(wǎng)消費(fèi)者遇到的安全問(wèn)題和他們?cè)诠ぷ髦杏龅降陌踩珕?wèn)題之間建立類比。IT部門幫助團(tuán)隊(duì)成員了解被破壞的憑證、勒索軟件、cookies和其他網(wǎng)絡(luò)威脅會(huì)如何影響他們的個(gè)人生活,并且會(huì)對(duì)他們?cè)诠ぷ鲌?chǎng)所使用互聯(lián)網(wǎng)的方式變得更加敏感。

6.懲罰。在好的世界中,只需要教育團(tuán)隊(duì)成員關(guān)于網(wǎng)絡(luò)威脅和保護(hù)措施,他們的行為也會(huì)相應(yīng)改變。然而,在實(shí)際運(yùn)營(yíng)的世界中,當(dāng)政策、控制和操作程序有意或無(wú)意地受到損害時(shí),需要對(duì)相關(guān)人員進(jìn)行懲罰。當(dāng)業(yè)務(wù)結(jié)果受到損害時(shí),員工通常會(huì)接受個(gè)人處罰。他們需要了解安全控制是出于商業(yè)原因而建立的,并且不遵守此類控制將會(huì)產(chǎn)生后果。懲罰顯然需要根據(jù)損害行為的嚴(yán)重程度進(jìn)行分級(jí),但如果沒(méi)有這樣的處罰,將會(huì)破壞企業(yè)試圖建立的文化。

引領(lǐng)安全文化

如果企業(yè)沒(méi)有一支由信息安全專業(yè)人士組成的團(tuán)隊(duì),那么無(wú)論他們是否技術(shù)精湛或資金充足,都很難保護(hù)企業(yè)免受各種黑客和網(wǎng)絡(luò)攻擊者的侵害。事實(shí)上,在任何情況下都無(wú)法實(shí)現(xiàn)絕對(duì)的安全保障,但如果企業(yè)能夠建立一種安全文化,每個(gè)員工都能理解他們面臨的風(fēng)險(xiǎn),并完全遵守保障措施的話,那么成功的可能性就會(huì)大大增加。雖然很少有人會(huì)反對(duì)這一說(shuō)法,但大多數(shù)人對(duì)從哪里開始感到困惑。安全團(tuán)隊(duì)必須有安全文化,因?yàn)檫@是他們的工作。安全團(tuán)隊(duì)之外的IT專業(yè)人員需要全心全意地接受這種文化,并成為安全文化的傳播者。

當(dāng)安全文化支持者能夠?qū)⑴杂^者轉(zhuǎn)變?yōu)樾袆?dòng)者時(shí),就會(huì)取得成功。如果IT領(lǐng)導(dǎo)者可以避免過(guò)度設(shè)計(jì)策略、控制和程序,并親自制定上述觸發(fā)因素實(shí)踐,他們可以在IT中創(chuàng)建成功的安全文化,為企業(yè)的其他部門提供指導(dǎo)。很多IT領(lǐng)導(dǎo)者表示,他們無(wú)法在公司內(nèi)部發(fā)揮更廣泛的領(lǐng)導(dǎo)作用,而建立安全文化這是他們的機(jī)會(huì)!

文章題目:如何在IT部門中建立安全文化
文章URL:http://www.rwnh.cn/news7/101207.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供App設(shè)計(jì)網(wǎng)站排名、全網(wǎng)營(yíng)銷推廣、小程序開發(fā)、搜索引擎優(yōu)化、企業(yè)網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)
洮南市| 威远县| 万山特区| 云浮市| 霍林郭勒市| 吉水县| 锦州市| 通山县| 安新县| 大宁县| 松原市| 呼和浩特市| 勃利县| 房产| 民丰县| 太康县| 仙游县| 西宁市| 柯坪县| 丹阳市| 北安市| 资源县| 库伦旗| 陵川县| 六枝特区| 宝丰县| 营口市| 靖西县| 泗洪县| 寻甸| 鄄城县| 宜丰县| 宜兰县| 新巴尔虎右旗| 鸡泽县| 萨嘎县| 浮山县| 二手房| 油尖旺区| 广水市| 梅州市|