安全是一个文化问题–企业文化中的网络安全问题

网络攻击往往是由于缺乏安全文化而发生的。

当安全制度和合规规则被员工规避时,事故的发生就在意料之中。然而,大多数损害并不是由对公司IT中心的自动攻击造成的,而是由缺乏安全文化造成的。然而,这不仅仅是通过严格的合规规则来树立集体意识。员工真正需要的是一种 “安全文化”。

当员工规避合规边界和安全制度时,事故不可避免。虽然在保护技术上的投资理所当然地逐年增加,但企业不应该认为,网络攻击已经成为过去。”操作系统 “最大的错误往往是高估了技术的能力,低估了网络犯罪分子的创造力。大多数损害不是由公司IT中心的自动攻击造成的,而是由安全文化的缺乏造成的。然而,这不仅仅是通过严格的合规规则来树立集体意识。员工真正需要的是一种 “安全文化”。

纯文化的保护

想象一下,作为公司的雇主,你必须让数千名员工一起行动–在极短的时间内。看来,是不可能的事。但我们的身体正是这样 “活着”–成功率极高。大约860亿个神经元必须一起工作,并不间断地相互沟通,才能让我们思考、感受和行动。这只有在一个条件下才行得通:每个细胞都必须知道自己到底应该做什么,而且所有细胞之间的化学反应必须是字面上的正确。如果不是这样,就会出现损伤,最坏的情况下会出现重大故障。

谈到安全,这种 “操作模式 “应该成为安全文化的典范。公司在这里形成了中枢神经系统,安全文化作为突触,同时也是神经细胞之间的连接点。每一位员工都体现出高度专业化的细胞,哪怕是最小的细胞,也会为一个正常运转的 “防御系统 “做出贡献。

不确定性因素 责任

根据目前的 “网络安全文化报告“,在4800名受访者中,90%的受访者认为真实的安全文化与期望的安全文化之间存在差异。大部分调查对象认为自己公司对内外部攻击的防御措施不够。此外,大多数员工甚至不知道如何改善自己的(数据)保护。这又是由于他们在安全问题上对自己的角色和能力领域的不确定。实际上,每十个员工中只有三个人知道这一点。

在这种背景下,安全文化中经常被忽视的东西就变得很清楚了。安全必须离开纯技术的观点,把(中间)人的因素放在上面。如今,这种反思更加关键,因为一段时间以来,网络犯罪分子越来越依赖 “社会工程 “的方法。为此,他们使用了诸如CEO诈骗(”总经理骗局”)这样的心理伎俩,在有权力的情况下,他们用这些伎俩操纵员工,给员工施加压力。感恩、责任感、诚信或骄傲等人性品质被无情地利用。

如果员工落入网络犯罪的陷阱,多数情况下会受到解雇的威胁。但在这种情况下,难道不应该质疑公司的安全文化而不是员工吗?

“安全文化 “是稳定的基石

“除了技术,没有什么是安全的–最不安全的是工作场所”–这句话概括了许多公司的战略,不论行业和规模,在我们这个以业绩为导向的社会里。恰恰是这种观点需要扭转。如果我们企业在建设安全文化的时候,只是按照一种模式来反应,那么我们就必须注意不要丢掉我们 “人力资本 “的两个特质:直觉和不可预知性。或者说得异端一点,你知道有多少安全事故是通过不可预知的行动来避免的吗?

如果你想建立一种严肃的安全文化,超越一般的营销巴拉巴拉,作为雇主,你首先应该给员工本身更多的安全感–在”(企业)安全文化 “中。  安全是人类的基本需求之一,我们努力保障自己不受任何伤害,保护我们重视的每一个人。为什么很少有公司从员工做起?一个没有安全感的员工,无论走得多好,肯定不会离开自己的(思维)道路。

人与技术之间的团队合作

据说伊丽莎白女王曾在一次关于自己葬礼的谈话中问道:”我不确定我是否喜欢蜡烛。我可以自己带吗?” 在大多数公司的安全问题上,这还是一个类似的故事。每个人在与技术和数据打交道时,更愿意相信自己的经验和价值观。合规准则是一个合理的行动框架,但在实施活的安全文化时,”因为就是这样 “这样的回答对双方都没有好处。

关键还在于,要最终让大家从脑海中消除 “超级安全 “技术的概念。此外,不能让所使用的技术成为嗡嗡作响的工具,不能把人仅仅看作是流程链上的齿轮。查理-卓别林的电影《摩登时代》展示了人们是如何因适应技术而变得迟钝的–这在今天的PC机前和当年的流水线上没有什么不同。因此,安全文化不应该是制度化的,因为文化在其意义上是一种 “由自己塑造 “的东西,同时安全也是直观认识、价值观、经验和期望态度的结果,是一种动态的参数。

从孤军奋战到安全网络员

安全文化不是一个静态的概念,而是一种具有动态因素的社会建构,从中可以得出个人和集体的行动最大值。此外,预期的视野在这方面也起到了不可低估的作用:越是高瞻远瞩,越是可以期待安全。

无论是在技术上还是在组织上,员工都需要(自我)确定性,这是安全和知识的交叉。他们还需要相信,公司的安全文化不会随着时间的推移而沦为一种边缘现象,而永远是具有投资性质的老板的事情。如果你创造了这样一个可靠的环境,安全文化就会慢慢但肯定会成为员工的第二天性。这样,独行侠才能成为真正的安全网民,他们可以自信地从词汇中删除 “早知道”、”不会有事的 “等语句,睁大眼睛在网络世界中行走。

安全港:在权威与灵感之间

此外,安全问题的主题化也与不知道有关。技术系统从一开始就不是完全可控的,只有通过 “故障 “才会越来越可控。所以,如果机器同样要 “学习”,那么企业就更不应该期望员工的功能无懈可击。安全文化不是靠压力创造出来的,而是要有一个安全的环境,在这个环境中,除了技术和组织规范外,还要有主动设计选择的空间,有 “共鸣空间”,有人的素质,如直觉或创造力来寻找解决方案。

“可以确定的是,没有什么是确定的。林格纳兹曾经说过:”连这个都没有。”。有一点可以肯定的是:人和技术总会有剩余的风险。这也适用于 “生活化 “的安全文化,其中知识、预见、反思和交流是最重要的因素。如果鼓励员工这样做,网络犯罪分子将面临一些困难时期。

有了这些组织和技术上的提示,你已经可以提前消除某些风险或可能的不安全因素,确保更多的安全。

  • 数据节俭为对策:”CEO诈骗 “等社会工程攻击可以在一定程度上限制 “数据贪婪”。公司应该考虑是否真的需要无所不在的数据存在,例如在网站上的个人电子邮件地址或缺席说明(特别是CEO)的形式。
  • 安全与合规应齐头并进。在组织和技术两方面,责成责任方尽可能让企业政策和技术的使用对员工简单、易懂、有约束力。合理且易于实施的是,例如,引入适合日常使用的数字签名和技术,数据保护和数据安全友好的默认设置等。
  • 用人力和财力规划一个切实可行的预算,也是为了缓冲公司的高峰负荷。
  • 对内部工作和业务流程进行检验。例如,关于数据访问的话题。谁可以访问哪些数据,何时、如何和在哪里访问?真的有这个必要吗?
  • 加强员工的作用。公司中特别有可能成为攻击受害者的目标人员应该意识到这一点,并据此更有力地鼓励他们提高安全意识。可以通过培训和教育,共同制定现实的能力领域和明确的、切实可行的行为规则,规定在发生(预)事件时应该怎么做。
Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.

Comments are closed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Request Free Early Access

Join our waitlist and be the first one to see the powerful Insights Platform live.

You have successfully entered the waitlist!