将安全意识融入公司的文化

员工安全意识培训与网络责任的重要性

关键要点

最近的一份Osterman Research白皮书强调了员工在安全意识培训中所花费的时间与他们在企业防御层面上所扮演角色之间的关系。该报告指出，无论培训项目如何，网络责任必须来自于高层管理Csuite及董事会否则将难以成功。因此，公司必须认真对待这些警告。

C级管理人员通常对处理网络攻击所需的时间更为关注，而非为员工提供有效的安全意识培训所需的时间。就此，雇主与员工都应如此思考：如果员工在工作中接受了良好的安全培训，他们在家中也能更好地保护自己的个人数据。此外，如果他们养成保护个人数据的习惯，回到办公室后也会更好地保护公司和客户的数据。这对整个组织来说都是双赢的局面。

当今的安全文化

大多数企业现有的安全文化主要是关注公司设备的使用：员工在电子邮件和社交媒体上可以做什么，哪些网站是允许访问的，以及工作时间内非工作活动的时间限制。对于曾遭到攻击的组织，通常还会提供详细的技术培训，教员工关于CIA机密性、完整性、可用性的知识这固然不错，但仅仅是员工所需的最低限度。

大多数监管标准如PCI、CCPA和GDPR要求公司在员工入职时及每年进行安全风险的培训，教会员工如何识别事件，以及如何使用系统。然而，安全文化真正依赖于高层管理如何创造这种责任感。

网络责任意味着组织能够追溯其系统上发生的每一笔数据交易，以便在出现问题时，可以记录谁进入或获取了数据以及他们对数据的处理行动。

网络责任悲伤的五个阶段

网络责任需要来自董事会和C级高管，但当我们尝试与他们讨论这个话题时，往往会遇到我所称之为网络责任悲伤的五个阶段：

否认： “这不是我们的麻烦！我们在这里是为股东创造利润、创造就业和增加价值。”

愤怒： “别打扰我们！我们已经聘请了首席安全官并购买了安全培训项目。去找我们的合规团队谈谈吧！”

讨价还价： “好吧，我们看到竞争对手受到黑客攻击并被监管机构审计。我们会聘请一家信誉良好的公司来进行评估，以作为我们的路线图。”

沮丧： “唉。我真不敢相信我们必须建立安全流程，安装技术解决方案并培训我们的用户。但可惜，我们必须这么做。”

接受： “实际上，这并不是火箭科学。我们可以做到！”

网络安全的五大支柱

我们开发的五大安全支柱框架已变得广为人知，易于使用，帮助公司评估董事会和关键决策者的网络成熟度。要确定任何企业、组织或政府机构的安全水平，公司只需关注五个影响所有组织的共同因素：物理安全；人员安全；数据安全；基础设施安全；以及危机管理。

在询问Csuite关于每个安全类别的准备情况时，不要仅让他们在“已到位”或“未到位”之间选择，而是提供选项，比如：“我绝对有信心”、“我认为是”、“我认为不是”、“我不知道”、“我不在意”以及“对于我们业务不重要”。如果他们的回答过于频繁地是“我不知道”、“我不在意”或“这对我们业务不重要”，那就应该引起