加強「網路安全文化」建設，勢在必行！

中國有句俗語「人有失手，馬有失蹄」，18世紀英國詩人Alexander Pope留下「To err is Human(凡人都會犯錯)」的詩句，在當今網路時代人們常聽道「人是網路安全中最薄弱的一環」。業界普遍認為高達95％的企業數據泄露事件與人為因素（有意或無意）有關，社會工程學攻擊尤其複雜，即使自認為最警惕、最小心的員工一樣有可能中招，給數據安全、資產安全和企業品牌帶來極大隱患。在網路空間安全威脅日益增長的嚴峻態勢下，企業不斷部署加固的IT基礎設施，在安全技術和解決方案上不斷大量投入，從熱門的雲計算、大數據、機器學習到人工智慧不一而足，以期抵禦網路威脅。然而，傳統企業網路安全防禦策略往往忽略了「人的因素」，可以說，諸多企業最大的安全漏洞在於企業「網路安全文化」的缺失。

根據普華永道《2018年全球信息安全狀況調查報告》顯示，48%受訪者表示企業缺乏員工安全意識教育計劃，54%沒有建立安全事件響應流程。防範企業安全風險看起來是一項「技術活」，但安全攻防的本質是「人」。同缺乏交通安全意識是交通事故頻發的重要原因一樣，網路安全意識淡薄是網路安全事件頻發的關鍵因素。一個不在員工安全意識、企業網路安全文化建設方面投入，不為員工賦能優先考慮安全性的企業將無可避免地淪為網路罪犯任意宰割的羔羊。

什麼是 「網路安全文化(Cybersecurity Culture)」 ？

安全文化 (Safety Culture) 的概念最先由國際核安全諮詢組 (INSAG) 於1986年針對切爾諾貝利事故提出，並於1991年給出了安全文化的定義：即安全文化是存在於企業和個人中的種種素質和態度的總和，它決定人們對安全的承諾、工作作風和對安全承諾的履行。當然核安全強調的是人體健康和生產技術活動的安全 (Safety) 問題,與企業網路安全(Cybersecurity)存在一定差異，但仍可以借鑒核領域的成功經驗。

歐洲網路與信息安全局(ENISA)對「網路安全文化」定義是指人們對網路安全所持有的知識、信念、認知、態度、假設、規範和價值觀的總和，以及對待網路安全所展現出的行為方式。講企業網路安全文化就是要將安全考量作為每一名員工工作、習慣和行為不可或缺的有機組成部分，將網路安全潛移默化地嵌入到日常的一切網路行為中。

建設企業安全文化，首先需要讓員工樹立正確的安全觀：「網路安全是每一名員工共同的責任」，轉變「網路安全僅是IT或IT安全部門的責任」的觀念。安全是發展的前提，也是發展的保障，所有員工必須要有安全意識，保密意識，幫助企業保護知識產權、客戶信息等重要數據安全，與企業共築網路安全防線。通常在組織內有許多亞文化，而網路安全文化可以積極影響日常業務決策的結果。例如，不同崗位的員工在工作中可能遇到的一些問題：

開發人員在項目工期臨近時發現不安全代碼：我是再多做些安全測試還是按時交付，導致項目延遲了誰負責？

財務人員在無意中把一個重要賬號密碼分享給了他人：我應該向安全部門將情況彙報一下嗎，會不會招來麻煩？

供應鏈管理人員在挑選供應商時：我是優先考慮安全性更高的供應商還是價格較便宜的供應商？

如果企業員工對網路安全文化沒有達成共識，員工在做出相應最終決策時缺乏安全意識和責任感，無疑這些冒險行為將導致企業面臨的安全風險不斷累積。儘管這些行為不會直接導致公司破產，但增加了企業成為網路攻擊對象並被成功入侵的可能性。相反，如果員工心中時刻有安全意識，選擇以「安全為先」的思維方式對上述問題做出決策，那麼隨著時間的推移，企業的代碼將更安全、事件響應更高效、供應鏈更健康。「安全第一」的文化使得攻擊者想要發現並利用漏洞而不被發現變得更加困難。

如何塑造企業網路安全文化？

企業最高管理層和安全負責人邁出打造企業網路安全文化的第一步是識別員工的關鍵風險行為。企業安全文化建設的初級階段是基於合規性，實現 「有多少人完成了培訓？」或「員工在教育上花費了多少時間？」。實現這一目標還遠遠不夠，還需要考慮企業目前面臨的人為因素風險有哪些？哪些員工擁有企業信息系統的核心許可權？哪些員工行為的改變可以有效降低企業、客戶和數據資產的安全風險？根據風險優先順序確定2-3項關鍵風險行為，並制定可衡量的實施方案，在短期內不斷鼓勵、強化員工的安全思維，進而影響員工行為習慣。這裡推薦一個相對簡單可行的安全文化建設行動框架供參考：衡量、激勵和教育。

1.衡量

制定合理的衡量指標以反映企業安全文化變化的進展是至關重要的。當一個企業可以衡量員工的關鍵期望行為時，就可以回答以下關鍵問題，如：

開展的各項企業安全文化建設活動是否有效地改變了員工的風險行為？

哪些部門表現得更好或沒有改善？為什麼？

是否已經實現了既定目標？何時可以開始實施下一項行為改變活動？

安全文化由於其定性本質衡量起來並不那麼顯而易見，但仍可以通過一些可量化的指標，如惡意軟體感染的數量、企業安全事件的數量和員工報告事件的數量、員工參與安全意識/文化培養活動的數量、甚至可以通過調查測試員工對企業安全政策和流程的理解等措施實現。

2.激勵

有效的行為改變需要合適的激勵措施配合。多花時間溝通尤為重要，讓員工充分理解踐行每項安全行為背後的目的和意義，對於讓員工積极參与進來有很大的幫助。很多安全意識/文化項目失敗原因之一就是員工參與度不高，動力不足。企業或行業內每次發生安全事件都是有積極意義的教育機會，有助於向員工證明網路安全威脅是真實存在的，離自己的企業並不遙遠，對於員工風險行為的改變要及時予以肯定、表揚和獎勵。

3.教育

如果沒有受過充分的教育培訓，員工將無法有效改變自己的行為，需確保員工掌握必備的安全意識、知識/技能、工具和流程。理想情況下，所提供的教育培訓應根據角色和能力水平進行量身定製，培訓內容應儘可能地與員工實際工作息息相關，並增加一定的趣味性。同時培訓資料開發人員應考慮語言因素，以受訓人員容易理解和接受的用語和口吻描述（如高級管理層與一般普通員工的培訓用語就應該有所區別）。

最高管理層的參與必不可少

要想做好「以人為本」的企業網路安全文化建設，最高管理層的支持與參與必不可少，各行業的企業高管們應該認真評估最高管理層是否已經將「安全第一」的文化作為企業風險管理策略的有機部分，將安全性要求牢牢植根於業務流程之中。在具體實踐中，沒有什麼比最高管理層設定「網路安全人人有責」這一基調更具影響力了。各級管理層需要以身作則，推動安全行為由上至下的改變，公開推廣安全文化對組織、個人和客戶的價值與重要性。正如歐洲網路與信息安全局(ENISA)倡導的那樣：「人是網路安全的第一道防線」，只有從企業最高管理層至普通員工，在強有力的「網路安全文化」影響下建立安全的行為習慣，才能成功將員工從「最薄弱一環」轉變為防禦網路攻擊的「最強大資產」，再結合各種技術手段與風險管理策略，企業才能真正增加網路安全信心，在防範網路風險中取得最大優勢。

參考資料：

1. https://www.pwc.com/us/en/cybersecurity/assets/revitalizing-privacy-trust-in-data-driven-world.pdf

2. https://www.enisa.europa.eu/publications/cyber-security-culture-in-organisations

*歡迎關注本公眾號，轉載轉發請註明出處：超安全！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！