日韩人妻无码潮喷视频,日韩一级精品视频在线观看,爆乳在线观看无码av,精品国产一区二区三区在线

建立強(qiáng)大安全文化的四個(gè)建議

2019年07月02日

為了數(shù)據(jù)安全，安全團(tuán)隊(duì)需要建立個(gè)人責(zé)任意識，而不是恐懼和互相指責(zé)。下面講述了兩位安全負(fù)責(zé)人是怎么做的。

安全團(tuán)隊(duì)無法保護(hù)他們看不到的東西。當(dāng)監(jiān)控工具越來越好時(shí)，終端用戶和業(yè)務(wù)經(jīng)理需要告訴IT和安全團(tuán)隊(duì)他們在拿不同應(yīng)用程序上的數(shù)據(jù)做些什么，尤其是在出現(xiàn)問題的時(shí)候。

當(dāng)涉及到安全問題時(shí)，在恐懼和互相指責(zé)的文化下，終端用戶不會(huì)告訴你他們是否在使用未經(jīng)批準(zhǔn)的應(yīng)用程序，是否點(diǎn)擊了惡意鏈接，或者是否看到了不尋常的活動(dòng)，直到為時(shí)已晚。安全團(tuán)隊(duì)?wèi)?yīng)該幫助用戶建立個(gè)人責(zé)任意識，使他們能夠像對待健康和安全等其他公司政策一樣對待數(shù)據(jù)安全。

相互指責(zé)的文化加劇了安全問題

將人視為一個(gè)薄弱環(huán)節(jié)，創(chuàng)造一個(gè)員工害怕因安全問題而受到懲罰的環(huán)境，不是一個(gè)經(jīng)營公司的好方法。然而，一些組織機(jī)構(gòu)采取極端措施來懲罰詐騙受害者。蘇格蘭一家媒體公司解雇并起訴了該公司的一名員工，原因是她卷入了一場網(wǎng)絡(luò)釣魚事件，并向冒充該公司總經(jīng)理要求其進(jìn)行付款的騙子支付了近 20 萬英鎊 (合 25 萬美元) 。Brian Krebs 最近發(fā)布了員工因未能通過網(wǎng)絡(luò)釣魚模擬測試而被解雇的例子。

這種相互指責(zé)的文化只會(huì)讓員工在出現(xiàn)問題時(shí)不愿意站出來…… 而這將數(shù)據(jù)置于風(fēng)險(xiǎn)之中。

畢馬威英國 (KPMG UK) 首席信息官M(fèi)ark Parr表示：

為了幫助建立這種安全與員工之間的信任，畢馬威啟動(dòng)了一項(xiàng)計(jì)劃，表彰那些提出公司內(nèi)部安全問題的員工。Parr 表示，自己希望發(fā)展這種文化，如果出現(xiàn)問題或發(fā)生了什么事，人們樂意告訴他們或向服務(wù)臺報(bào)告。畢馬威有一個(gè)內(nèi)部系統(tǒng)可以識別員工，其他員工也能看到。如果有人找到自己說，‘我注意到了這個(gè)，這有點(diǎn)問題，’那么 Parr 就會(huì)通知他們的直屬領(lǐng)導(dǎo)讓他站出來。

英國電商 The Hut Group (THG) 全球安全業(yè)務(wù)主管Graeme Park警告說，由于企業(yè)和個(gè)人系統(tǒng)，應(yīng)用程序和設(shè)備之間的聯(lián)系——無論是否通過自帶設(shè)備 (Bring Your Own Device, BYOD)，人們通過工作電腦查看個(gè)人郵件或者相反，或是出于商業(yè)目的使用個(gè)人 SaaS 賬戶——糟糕的個(gè)人安全意識是導(dǎo)致組織機(jī)構(gòu)被攻擊的另一個(gè)因素。這取決于企業(yè)將控制與教育相結(jié)合，而不是訴諸于恐嚇策略。這是再教育的一部分，讓安全平易近人，而不是對員工暴跳如雷。

Park 舉了一個(gè)例子，他認(rèn)為網(wǎng)絡(luò)代理經(jīng)常被 “大器小用”，一個(gè)更好的方法是記錄一切包括警告，如果用戶訪問了違反政策的網(wǎng)站，應(yīng)該要求他們提供為什么需要訪問該頁面的理由。

良好的安全文化是什么樣的

如果互相指責(zé)的文化不好，那么良好的安全文化應(yīng)該是什么樣的呢?畢馬威的 Parr 表示：良好的安全文化應(yīng)該是，人們本能地理解與日?；顒?dòng)相關(guān)的風(fēng)險(xiǎn)，知道并有信心能夠減輕或處理這種風(fēng)險(xiǎn)。我們必須摒棄 “一切都很好，CISO會(huì)為我們處理好一切” 的想法。

以下是 Parr 和 Park 認(rèn)為首席信息安全官們?yōu)榻⒁粋€(gè)強(qiáng)大的安全文化需要努力的四個(gè)關(guān)鍵方面。

1. 讓安全易于理解

自從 Parr 成為首席信息安全官一年多前，畢馬威英國一直在改變其公司內(nèi)部安全文化和教育方法的進(jìn)程中，確保該公司在 27 個(gè)不同地方的 16000 名英國員工能夠達(dá)到一致的安全意識水平。Parr 表示：良好的(文化)是指人們對信息安全感到自信和舒適，而不覺得這是一門科學(xué)或一個(gè)魔法。

建立安全意識文化的一個(gè)關(guān)鍵是使其與受眾產(chǎn)生共鳴，因此畢馬威的安全教育內(nèi)容已被盡可能用通俗易懂的語言來表達(dá)，并精心設(shè)計(jì)了適用于員工的場景。Parr表示，他想讓人們像對待工作上的信息安全一樣對待家庭信息安全，通過設(shè)定真實(shí)的場景，給人們明確的方向是關(guān)鍵。

讓人們了解這些基礎(chǔ)知識會(huì)讓終端用戶更容易理解，反過來他們也會(huì)更認(rèn)真地對待企業(yè)的信息安全，因?yàn)樗麄兿胂蟮贸龇稿e(cuò)的后果。Parr 表示，責(zé)任感是成功的關(guān)鍵。如果人們覺得自己明白為什么要對數(shù)據(jù)的處理和管理負(fù)責(zé)，那么事情就成功了一半。

2. 提供持續(xù)的意識訓(xùn)練

作為這種文化變革的一部分，畢馬威已經(jīng)從實(shí)時(shí)演示和評估轉(zhuǎn)向?yàn)?Parr 所描述的通過活動(dòng)、培訓(xùn)、視頻和播客的 “一種持續(xù)的意識訓(xùn)練”。 看著 PPT 上的幻燈片，盡可能快地瀏覽一遍，最后回答20個(gè)問題并希望你能通過考試，這并不能向我證明什么。這只是顯示了你從幻燈片中獲取信息的能力。讓人們明白有一些規(guī)則和指導(dǎo)是可用的，知道他們能做什么，不能做什么，以及他們應(yīng)該扮演什么角色。

Parr 首先發(fā)布了一份非常簡單易懂的政策文件。這份文件被濃縮成一頁紙的標(biāo)題，以便在人們有時(shí)間閱讀的時(shí)候抓住他們的注意力。然后發(fā)展成一個(gè)他們在上班的火車上可能會(huì)看的三分鐘短視頻。這是為了保持活動(dòng)的節(jié)奏，這樣人們就會(huì)一直被提醒。

雖然評估這種文化帶來的影響可能很困難，但 Parr 與公司的學(xué)習(xí)和發(fā)展團(tuán)隊(duì)合作，圍繞公司有多少名員工在收聽播客、觀看視頻和參與到團(tuán)隊(duì)正在制作的其他安全教育中，創(chuàng)建了參與度指標(biāo)。這些指標(biāo)可以用來衡量安全教育材料是否能引起員工的共鳴。

為了讓更多的人參與到安全教育中，組織機(jī)構(gòu)的領(lǐng)導(dǎo)層會(huì)定期發(fā)送信息鼓勵(lì)人們觀看、閱讀和聆聽安全材料?！皹I(yè)務(wù)信息安全人員” 作為信息安全主題方面的專家，負(fù)責(zé)生產(chǎn)活動(dòng)。他們鼓勵(lì)員工更直接地參與其中。

3. 在影子IT問題上與員工合作

指責(zé)員工使用未經(jīng)批準(zhǔn)的應(yīng)用程序 (稱為影子 IT)，與因安全問題而解雇他們一樣，都是不明智的行為。影子IT問題長期以來一直存在。 它背后的驅(qū)動(dòng)因素實(shí)際上是IT系統(tǒng)的廣泛存在;無論是軟件還是硬件，無論是在家里還是在其他任何地方。

Park 認(rèn)為，人們并不壞，他們沒有試圖利用影子 IT 來故意規(guī)避公司政策或公司安全措施。一般情況下，他們只是想更好，更快，更輕松地完成工作做。這對 IT 和安全工作來說是一種失敗;IT 和安全部門可以從攔路虎變成推動(dòng)者，確保人們擁有完成工作所需的工具。

Park 表示，影子 IT 可以是 SaaS 服務(wù)或未經(jīng)批準(zhǔn)的桌面應(yīng)用程序，到他所說的 “更小但有同樣影響力的影子IT們”，比如集成到 Slack 或 JIRA、瀏覽器擴(kuò)展，甚至是公司網(wǎng)絡(luò)上類似亞馬遜 ALEXA 的設(shè)備。無論影子 IT 以何種形式出現(xiàn)，IT 和安全部門都需要更開放地接受它。因?yàn)槿绻藗儞?dān)心違反公司政策會(huì)受到懲罰，他們永遠(yuǎn)不會(huì)告訴你他們在做什么。

4. 展示什么是好的

改變公司內(nèi)部的安全文化也意味著安全團(tuán)隊(duì)思維方式的改變。正如員工希望 CSO 成為一個(gè)優(yōu)秀的溝通者和領(lǐng)導(dǎo)者一樣，安全團(tuán)隊(duì)也需要跟進(jìn)，既要引人注目，又要平易近人。

Park 表示，在過去的十年里，他們并沒有做好工作讓人們更容易理解安全性。他們很難用通俗易懂的語言來表達(dá)，很難在不闡明根本技術(shù)問題的情況下解釋風(fēng)險(xiǎn)。

相反，他說關(guān)于安全問題需要以一種更類似于健康和安全警告的方式傳達(dá)信息。向別人解釋為什么他們不應(yīng)該在沒有個(gè)人防護(hù)裝備的情況下爬梯子是很容易的，因?yàn)楹蠊@而易見。向別人解釋為什么他們應(yīng)該使用 SharePoint，而不能使用 Dropbox 不容易是因?yàn)樵谒麄兛磥?，SharePoint 不會(huì)產(chǎn)生像爬梯子沒有防護(hù)措施那樣的影響。

Parr 一直在與安全團(tuán)隊(duì)合作，改變他們的思維方式，讓他們成為自己試圖在公司中建立的文化的代表和擁護(hù)者。

江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺建設(shè)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案，業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。

江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。