5個(gè)跡象表明您的企業(yè)安全文化有毒（附應對方法

如果說(shuō)一個(gè)企業(yè)的文化是其核心和靈魂，那么它的安全文化將是其無(wú)所不在的守護者。

企業(yè)的安全文化不僅僅是制定合理的政策和程序，而應該是一套 “社會(huì )化” 的操作系統，它能夠影響并指導員工將安全意識和行為融入到日常生活中。一旦企業(yè)安全文化走向崩潰，那么無(wú)論是在安全團隊內部，還是在安全團隊與組織的其他部門(mén)之間，都可能會(huì )形成網(wǎng)絡(luò )實(shí)踐松懈、玩世不恭甚至相互指責的有毒環(huán)境。

行業(yè)領(lǐng)導者為我們提供了 5 個(gè)揭示企業(yè)安全環(huán)境有毒的跡象，同時(shí)還為我們提供了獲得真正良好的安全文化的相關(guān)建議。

企業(yè)安全文化有毒的5個(gè)跡象

1. 他們正在玩 “推卸/責備” 游戲

ISACA 董事會(huì )主席 Rob Clyde 表示，當企業(yè)發(fā)生重大安全事件時(shí)，有毒環(huán)境中的焦點(diǎn)就會(huì )立即轉向 “誰(shuí)應該受到責備” 的問(wèn)題上。很顯然，該組織正在尋找替罪羊——一個(gè)背黑鍋的人。對于這一點(diǎn)，大家可以參考一下領(lǐng)導層的平均任期，如果不到三年，這可能就是一個(gè)警告信號了。

根據 2019 年 Nominet 對 408 位 CISO 的調查結果顯示，CISO 的平均任期不到三年。近三分之一的受訪(fǎng)者 (30%) 表示，其任期甚至不足兩年。這種情況只會(huì )讓企業(yè)組織始終處于一種不斷變化的狀態(tài)之中，不利于企業(yè)長(cháng)期穩定的發(fā)展。

2. “犬儒主義” 盛行

犬儒主義 (Cynicism) 是個(gè)外來(lái)詞，中文里本來(lái)沒(méi)有現成的對應詞匯，通常將它理解為譏誚嘲諷、憤世嫉俗、玩世不恭。W Risk Group的首席執行官 Karen Worstell 表示，犬儒主義是最容易發(fā)現的有毒行為。

當你聽(tīng)到人們以憤世嫉俗的方式談?wù)撈髽I(yè)管理或生活，這時(shí)候就需要加強警惕了。它表示企業(yè)內部人員存在壓力和痛苦，而且人們時(shí)常會(huì )覺(jué)得沒(méi)有任何辦法影響他們所負責的結果，他們對于一些事情感到無(wú)能為力，這時(shí)候玩世不恭的行為就會(huì )占據上風(fēng)。

除此之外，出勤率或是 “點(diǎn)到即止” 的做事風(fēng)格也能夠證明安全環(huán)境是有毒的。

3. 內部漏洞增加

當企業(yè)安全文化開(kāi)始出現問(wèn)題時(shí)，指標會(huì )顯示告警跡象，例如內部漏洞增加。我們知道，20% 的違規行為通常發(fā)生在組織內部，且源自?xún)炔繂T工的人為失誤。日復一日，周而復始，你是否發(fā)現比平常更多的 “以員工為中心” 的漏洞正發(fā)生在組織內部?這可能表明員工不知情或者根本不關(guān)心正確的安全衛生問(wèn)題。此外，較高的員工流失率和慘淡的營(yíng)業(yè)額也能表明員工對工作的不滿(mǎn)。

4. 答案通常是 “NO”

如果企業(yè) CISO 團隊口中給出的第一個(gè)答案是 “NO”，那就說(shuō)明這是一個(gè)有毒的安全文化環(huán)境。當遭到斥責之后，人們就會(huì )尋找可以繞過(guò)安全部門(mén)的方法，這樣一來(lái)會(huì )產(chǎn)生無(wú)數未知的安全風(fēng)險。

Marsh LLC 公司網(wǎng)絡(luò )風(fēng)險咨詢(xún)師 Kevin Richards 列舉了一個(gè)廣告代理商 CISO 的案例，該 CISO 默許客戶(hù)為其每個(gè)項目運行 15 - 20 個(gè)云環(huán)境，因為客戶(hù)并不想與自己的內部安全團隊打交道。

對于大多數員工來(lái)說(shuō)，他們被安全團隊拒絕了太多次，以致于他們想要尋求不同的能夠繞過(guò)安全團隊的方式。有多少人之所以選擇開(kāi)辟自己的協(xié)作能力，只是因為在企業(yè)內 “以正確的方式” 完成這件事太難了?他們這樣做并非本著(zhù)惡意企圖或是為了給組織增加安全風(fēng)險，他們只是想要做好自己的工作而已。

5. 安全團隊是孤立的

Deloitte&Touche LLP 的負責人 Emily Mossburg 表示，當安全團隊過(guò)于孤立并專(zhuān)注于孤島中的安全性時(shí)，并不利于在整個(gè)組織內更廣泛地推動(dòng)關(guān)系和網(wǎng)絡(luò )構建。

這會(huì )造成安全團隊和企業(yè)其他部門(mén)之間的隔閡，同時(shí)扼殺來(lái)自不同角度的思想結晶。有時(shí)候，由于來(lái)自整個(gè)組織的壓力，人們會(huì )擔心失去作為安全團隊的權力和職責，所以就逐漸形成了一種孤立和對信息絕對控制的局面。但是，這種孤立的局面無(wú)疑是有毒的，這就相當于網(wǎng)絡(luò )團隊單槍匹馬地對抗其他所有部門(mén)。

如何獲得你想要的企業(yè)安全文化

真正的文化變革可能需要數年才能完成，但現在可以采取以下幾個(gè)步驟將脫軌的網(wǎng)絡(luò )安全文化重新推向正軌。

1. 幫助安全團隊全面看待事物

在安全團隊內部，領(lǐng)導者應該學(xué)會(huì )如何處理看似不可能或永無(wú)止境的情況，并從其他角度看待該問(wèn)題，看看我們能夠做出哪些創(chuàng )造性的事情來(lái)。專(zhuān)注于我們控制范圍內的事情，思考我們如何才能將這個(gè)事情重新定義為另一個(gè)不會(huì )給個(gè)人帶來(lái)負擔的視角?

2. 想辦法說(shuō) “YES”

安全領(lǐng)導者應該積極地幫助組織在安全指南的構建中找到更好地完成工作的方法。通常情況下，如果員工理解為什么這樣做能夠讓企業(yè)更安全，他們會(huì )樂(lè )意遵循這些建議的。

以會(huì )議服務(wù)為例，現在有 12 - 15 個(gè)會(huì )議橋服務(wù)可供選擇，為什么他們要使用公司所選擇的服務(wù)呢?對于普通用戶(hù)來(lái)說(shuō)，這可能不成問(wèn)題，但是對于受到嚴格監管的企業(yè)而言，如果在共享項目數據或機密信息時(shí)出現不適當的情況，或是其他故障，則可能會(huì )對該企業(yè)造成致命傷害。用戶(hù)不了解繞過(guò)公司選擇的會(huì )議服務(wù)有什么后果很正常，但是 CISO 的工作就是思考所有這些事情，并提供相應的教育和正確的選擇。

3. 制定網(wǎng)絡(luò )安全文化管理計劃

根據 ISACA 對 4,800 名商業(yè)和技術(shù)專(zhuān)業(yè)人士的調查結果發(fā)現，在 2018 年，42% 的組織沒(méi)有概述的網(wǎng)絡(luò )安全文化管理計劃或政策，來(lái)描述安全目標、教育以及員工的個(gè)人責任等相關(guān)問(wèn)題。但是，制定網(wǎng)絡(luò )安全文化管理計劃是邁向網(wǎng)絡(luò )安全文化的第一步。

4. 為網(wǎng)絡(luò )安全培訓和工具提供資金支持

報告指出，企業(yè)對于當前和期望的網(wǎng)絡(luò )安全文化之間存在巨大差距，它們表示目前用于培訓和購置工具的預算僅占年度網(wǎng)絡(luò )安全總預算的 19%，而它們所期待的網(wǎng)絡(luò )安全文化構建工作可能需要多出該比例兩倍 (43%) 的支出。

想要改善企業(yè)安全文化，我們所能做的最好的事情就是對內部人員進(jìn)行投資。我們需要抵制增加更多員工(以解決網(wǎng)絡(luò )安全問(wèn)題)的誘惑，而是專(zhuān)注投資我們目前所擁有的員工。

5. 重新定義與業(yè)務(wù)部門(mén)的關(guān)系

安全領(lǐng)導者需要更加開(kāi)放，更加網(wǎng)絡(luò )化，并與組織內部的其他成員保持更加透明的關(guān)系，以創(chuàng )建積極主動(dòng)而非被動(dòng)的安全文化。當他們這樣做時(shí)，他們將能夠更輕松地完成任務(wù)。

文章來(lái)源：https://news.cndns.com/article/10624

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<