安全是一个文化问题–企业文化中的网络安全问题
网络攻击往往是由于缺乏安全文化而发生的。
当安全制度和合规规则被员工规避时,事故的发生就在意料之中。然而,大多数损害并不是由对公司IT中心的自动攻击造成的,而是由缺乏安全文化造成的。然而,这不仅仅是通过严格的合规规则来树立集体意识。员工真正需要的是一种 “安全文化”。
当员工规避合规边界和安全制度时,事故不可避免。虽然在保护技术上的投资理所当然地逐年增加,但企业不应该认为,网络攻击已经成为过去。”操作系统 “最大的错误往往是高估了技术的能力,低估了网络犯罪分子的创造力。大多数损害不是由公司IT中心的自动攻击造成的,而是由安全文化的缺乏造成的。然而,这不仅仅是通过严格的合规规则来树立集体意识。员工真正需要的是一种 “安全文化”。
Index
纯文化的保护
想象一下,作为公司的雇主,你必须让数千名员工一起行动–在极短的时间内。看来,是不可能的事。但我们的身体正是这样 “活着”–成功率极高。大约860亿个神经元必须一起工作,并不间断地相互沟通,才能让我们思考、感受和行动。这只有在一个条件下才行得通:每个细胞都必须知道自己到底应该做什么,而且所有细胞之间的化学反应必须是字面上的正确。如果不是这样,就会出现损伤,最坏的情况下会出现重大故障。
谈到安全,这种 “操作模式 “应该成为安全文化的典范。公司在这里形成了中枢神经系统,安全文化作为突触,同时也是神经细胞之间的连接点。每一位员工都体现出高度专业化的细胞,哪怕是最小的细胞,也会为一个正常运转的 “防御系统 “做出贡献。
不确定性因素 责任
根据目前的 “网络安全文化报告“,在4800名受访者中,90%的受访者认为真实的安全文化与期望的安全文化之间存在差异。大部分调查对象认为自己公司对内外部攻击的防御措施不够。此外,大多数员工甚至不知道如何改善自己的(数据)保护。这又是由于他们在安全问题上对自己的角色和能力领域的不确定。实际上,每十个员工中只有三个人知道这一点。
在这种背景下,安全文化中经常被忽视的东西就变得很清楚了。安全必须离开纯技术的观点,把(中间)人的因素放在上面。如今,这种反思更加关键,因为一段时间以来,网络犯罪分子越来越依赖 “社会工程 “的方法。为此,他们使用了诸如CEO诈骗(”总经理骗局”)这样的心理伎俩,在有权力的情况下,他们用这些伎俩操纵员工,给员工施加压力。感恩、责任感、诚信或骄傲等人性品质被无情地利用。
如果员工落入网络犯罪的陷阱,多数情况下会受到解雇的威胁。但在这种情况下,难道不应该质疑公司的安全文化而不是员工吗?
“安全文化 “是稳定的基石
“除了技术,没有什么是安全的–最不安全的是工作场所”–这句话概括了许多公司的战略,不论行业和规模,在我们这个以业绩为导向的社会里。恰恰是这种观点需要扭转。如果我们企业在建设安全文化的时候,只是按照一种模式来反应,那么我们就必须注意不要丢掉我们 “人力资本 “的两个特质:直觉和不可预知性。或者说得异端一点,你知道有多少安全事故是通过不可预知的行动来避免的吗?
如果你想建立一种严肃的安全文化,超越一般的营销巴拉巴拉,作为雇主,你首先应该给员工本身更多的安全感–在”(企业)安全文化 “中。 安全是人类的基本需求之一,我们努力保障自己不受任何伤害,保护我们重视的每一个人。为什么很少有公司从员工做起?一个没有安全感的员工,无论走得多好,肯定不会离开自己的(思维)道路。
人与技术之间的团队合作
据说伊丽莎白女王曾在一次关于自己葬礼的谈话中问道:”我不确定我是否喜欢蜡烛。我可以自己带吗?” 在大多数公司的安全问题上,这还是一个类似的故事。每个人在与技术和数据打交道时,更愿意相信自己的经验和价值观。合规准则是一个合理的行动框架,但在实施活的安全文化时,”因为就是这样 “这样的回答对双方都没有好处。
关键还在于,要最终让大家从脑海中消除 “超级安全 “技术的概念。此外,不能让所使用的技术成为嗡嗡作响的工具,不能把人仅仅看作是流程链上的齿轮。查理-卓别林的电影《摩登时代》展示了人们是如何因适应技术而变得迟钝的–这在今天的PC机前和当年的流水线上没有什么不同。因此,安全文化不应该是制度化的,因为文化在其意义上是一种 “由自己塑造 “的东西,同时安全也是直观认识、价值观、经验和期望态度的结果,是一种动态的参数。
从孤军奋战到安全网络员
安全文化不是一个静态的概念,而是一种具有动态因素的社会建构,从中可以得出个人和集体的行动最大值。此外,预期的视野在这方面也起到了不可低估的作用:越是高瞻远瞩,越是可以期待安全。
无论是在技术上还是在组织上,员工都需要(自我)确定性,这是安全和知识的交叉。他们还需要相信,公司的安全文化不会随着时间的推移而沦为一种边缘现象,而永远是具有投资性质的老板的事情。如果你创造了这样一个可靠的环境,安全文化就会慢慢但肯定会成为员工的第二天性。这样,独行侠才能成为真正的安全网民,他们可以自信地从词汇中删除 “早知道”、”不会有事的 “等语句,睁大眼睛在网络世界中行走。
安全港:在权威与灵感之间
此外,安全问题的主题化也与不知道有关。技术系统从一开始就不是完全可控的,只有通过 “故障 “才会越来越可控。所以,如果机器同样要 “学习”,那么企业就更不应该期望员工的功能无懈可击。安全文化不是靠压力创造出来的,而是要有一个安全的环境,在这个环境中,除了技术和组织规范外,还要有主动设计选择的空间,有 “共鸣空间”,有人的素质,如直觉或创造力来寻找解决方案。
“可以确定的是,没有什么是确定的。林格纳兹曾经说过:”连这个都没有。”。有一点可以肯定的是:人和技术总会有剩余的风险。这也适用于 “生活化 “的安全文化,其中知识、预见、反思和交流是最重要的因素。如果鼓励员工这样做,网络犯罪分子将面临一些困难时期。
有了这些组织和技术上的提示,你已经可以提前消除某些风险或可能的不安全因素,确保更多的安全。
- 数据节俭为对策:”CEO诈骗 “等社会工程攻击可以在一定程度上限制 “数据贪婪”。公司应该考虑是否真的需要无所不在的数据存在,例如在网站上的个人电子邮件地址或缺席说明(特别是CEO)的形式。
- 安全与合规应齐头并进。在组织和技术两方面,责成责任方尽可能让企业政策和技术的使用对员工简单、易懂、有约束力。合理且易于实施的是,例如,引入适合日常使用的数字签名和技术,数据保护和数据安全友好的默认设置等。
- 用人力和财力规划一个切实可行的预算,也是为了缓冲公司的高峰负荷。
- 对内部工作和业务流程进行检验。例如,关于数据访问的话题。谁可以访问哪些数据,何时、如何和在哪里访问?真的有这个必要吗?
- 加强员工的作用。公司中特别有可能成为攻击受害者的目标人员应该意识到这一点,并据此更有力地鼓励他们提高安全意识。可以通过培训和教育,共同制定现实的能力领域和明确的、切实可行的行为规则,规定在发生(预)事件时应该怎么做。
Comments are closed.