人们经常讨论强大的安全文化的重要性,但却没有定义安全文化的含义,更重要的是,为什么它如此重要,什么是组织使命的价值文化?文化被定义为人们共同的态度、看法和信仰。一个常见的比喻是将文化比作冰山。就像冰山一样,文化很难被看到,因为它的大部分都是隐藏的。就像冰山一样,文化也难以移动。安全文化是组织日常运作中固有的一套规范、信念、价值观、态度和假设,并反映在组织内所有实体和人员的行动和行为中,促进有效的安全文化对于实现良好的安全结果至关重要。
1.安全文化是什么
一个组织成功的安全实践通常包括人员、过程和技术三部分。而安全文化就是探讨人员的行为习惯是如何影响一个组织的安全性的。
安全文化是组织中的每个人共享的关于网络安全的价值观,包括思想(Ideas)、习惯(Customers)和社会行为(social behaviors)。它决定了人们如何思考和处理安全问题。
更具体一点,安全文化是研究组织成员对安全政策的态度和行为,以及这些态度和行为如何影响公司的网络安全、物理安全和运营安全
建立正确的安全文化有助于培养具有安全意识的员工队伍,并促进员工具备的良好的安全行为。越来越多的组织开始重视并衡量他们的安全文化。
在信息安全文化( information security culture)中,我们着眼于文化如何影响信息管理。在网络安全文化(cyber security culture)中,重点是使用网络技术创建、操作或存储数据的信息管理部分
2.安全文化为什么重要
安全文化与降低风险直接相关。在最近发表的一篇研究报告[1]显示,安全文化不佳的组织,其员工共享凭据的风险要高出52倍。
《2020年第四季度勒索软件市场报告》指出,网络钓鱼首次超过其他技术,成为黑客获取访问的最常用工具[2]。因此,世界各地的组织,无论大小,都应该预料到在未来几年网络钓鱼攻击数量的增加。安全文化是安全工具箱中关键的、需要拥有的资产。
通过评估员工的安全意识、行为和文化,组织可以调整他们的政策和培训计划,以适应不断变化的威胁环境
2020年,大多数黑客攻击之所以成功,是因为它们应用了社会工程学:让员工泄露信息,从而使黑客能够访问组织的计算机系统。
这些攻击每年使组织损失数百万美元,甚至可能导致它们破产。研究表明,安全文化和安全行为密切相关。
对网络钓鱼电子邮件的敏感性是网络安全人为因素中的关键问题之一,因为它最终总是由员工决定是否打开电子邮件、点击链接并将一些敏感数据输入到虚假网站。尽管如此,根据科学文献,员工的这种危险行为是由三类不同因素引起的:
-
钓鱼邮件的特征,如可信度、紧迫性、丰富性、权威性。
-
员工的特征,例如他/她的性格、知识、好奇心、天真、信任倾向、受过的培训、经验等。
-
组织因素,例如安全政策、工作环境、组织文化和安全文化[3]。
改善安全文化应该是组织保护自己的首要策略。组织可以实施多种策略来改善安全文化,例如通过自动化网络钓鱼评估和员工培训。采用结构化方法实施安全文化
安全文化通常被认为是一种长期的投资,需要不断的努力来维持和增长
3. 如何评估安全文化
全球绝大多数安全领导者报告说,安全文化对其安全计划至关重要。商业原则是建立强大安全文化的主要动力。建立业务成功 (49%)、商业诚信 (43%) 和客户安全感 (41%) 是安全领导者创建强大安全文化的首要动机。
对安全文化缺乏了解给组织建立和维护安全文化的能力带来了许多挑战。我们将安全文化定义为影响其安全的组织的思想、习俗和社会行为。要使用安全文化,我们必须首先了解它。应该清楚的是,为了衡量和管理文化,我们需要应用不同于传统安全控制的其他工具、技术和实践。
4.安全文化实践框架[4]
1.设计目标与度量
安全文化框架的起点是指标。在这个阶段,您了解当前组织的状况以及您想要达到的目标。指标基于事实和可衡量的信息。您可以使用这些指标来分析组织的优势、劣势和可能性。
您首先定义当前的情况,称为 As-Is。接下来记录你的目标,称为 To-Be。您可以使用标准 GAP分析来确定差距。在此过程中,您可以花时间定义里程碑,以及您的组织在每个里程碑上应该处于什么级别。将指标文档化,以及使用这些指标的原因是安全文化框架的重要组成部分。
结果目标的一个例子:组织在六个月内将“忘记密码”请求的数量减少50%。
学习成果的一个例子:那些接受培训的人应该意识到强密码的重要性,获得创建强密码的经验,学习如何以安全的方式管理他们的密码组合并分享这些知识。
为了确定当前的情况和定义的目标之间的差异,可以进行差距分析。
“AS-IS”描述的是今天的情况。了解你现在的状态是这个框架中很重要的一点。一旦充分评估了当前环境,就可以开始进行适当的计划。要定义今天的状态,你可以收集其他数据;偏差数据,事件报告,访谈和问卷等。
“To-Be”描述期望的未来状态。这里描述了可量化的目标、目标和指标参数,定义如何收集数据以记录将来状态是如何实现的,并能够跟踪进展,这一点也很重要。
大多数组织,如果仔细观察,已经拥有大量可以使用的数据。 一些建议是采取客观的观点并映射现有的数据流。此外通过与相关流程管理人员交谈,你可能会对你发现的事情感到满意。您最终会得到两种类型的数据; 基于数字的定量或基于访谈或调查的定性。
使用已知的工具和方法总是一个优势。如果您的组织还没有首选模型,我们建议使用:PDCA模型,即计划 – 执行 – 检查 – 行动 (PDCA) 是来自 ISO 的知名流程模型。
2.让合适的人参与进来
在本模块中,您将确定让谁参与组织和运行您的安全文化计划,以及花时间定义不同的目标受众。组织安全文化工作的人员不能仅限安全部门,还应来自和包括许多不同领域的专业知识,三个最重要的领域是:
1) C-级主管(例如CEO,CISO…):你需要他的积极支持
定义目标受众是营销用语,目的是理解不同的人之间的差异。比如年龄、性别、兴趣、生活状况等等。
对于您的安全文化计划,了解您的组织内部不同团队、人群等所包含的文化差异是有必要的,理解这些差异并在设计您的安全文化计划时考虑这些差异可能是成功与否的关键。
在许多情况下,建立安全文化是一种变革管理形式。对于大多数人来说,如果他们了解原因,就会更容易接受新事物、变化和额外的工作 。为了在整个组织中宣传该计划,您可以采取一些措施:
激励和创造个人需求的平衡是密切相关的。使用的沟通策略之一是关注为什么 创建安全文化很重要。这个过程中定制宣传的信息内容是很重要的
变革过程中,总会有人说:“我们一直都是这样做的,为什么现在要改变?”,一个人对变化总会有一种天然的抗拒,这是人性使然。安全文化本质上是组织文化的一部分。在早期准备、计划和检测这种抵制很重要,最重要的是能够有效地管理它。
人力资源部门通常在了解人及其对变革的抵制以及如何观察和管理问题方面拥有丰富的经验。安全人员应该和他们建立良好的关系!
2.选择活动
选择活动模块用于确定要培训哪些主题以达到您的目标。有大量不同的主题需要培训以成功创建安全文化,从技术领域到密码、政策和合规性,再到如何发现社会工程攻击。
要创造价值和结果,将正确的主题与您在“度量”中定义的指标、目标和任务保持一致非常重要。某些主题可能与不同的目标群体或多或少相关。根据您在组织模块中定义的不同目标群体调整您的主题。
关于主题需要注意的一件事是,在一年内涵盖所有主题的可能性很小,通常也不是您想要的。长期结果是通过精心制定计划以在几年内建立您想要的安全文化而产生的。
某些主题与员工生命周期的不同阶段相关。一个例子是在新员工开始工作时向他们介绍政策和法规。另一个是在搬迁期间,对员工进行当地安全常规培训可能是有意义的。
许多主题很容易通过匹配活动来识别,而有些则需要定制。建议首先定义主题,然后寻找匹配的活动。
最容易定义的主题是总体目标,以及那些包含整个组织的目标。那些只将组织的一部分作为目标群体或单个员工的主题需要更多的资源。在处理主题的过程中,了解第一阶段定义的学习目标是很重要的。在很多情况下,学习目标的调整或新的学习目标会在选择主题时出现。
短时间的学习,在大多数情况下,以E-learning的形式进行。
及时培训(Just–in–time training)
是对特定行动的反馈。例如,弹出窗口告知已打开受感染或不安全的附件或链接。
线上或线下讲座。E-learning也被认为是一门课程。
来自组织中其他人的知识、技巧和建议分享的小视频或会议。
海报和传单(Posters and leaflets)
测试能力和学习能力(Tests of competence and learning)
一种衡量方法是使用测试、问卷调查和访谈。 测试是衡量和加强任何信息和培训工作的好方法。
建立能力和文化的一个很好的方法是让同事互相评价。这可以通过工具,或者面对面,甚至小组来完成。确保营造一个分享和关注的环境,避免消极。
4.计划与执行
在计划阶段,根据安全文化工作的目标、目标群体和主题制定了详细的计划。其中工具(Instruments)、活动(activities)、目标群体(target groups)为详细的时间表创建了一个起点。计划的结构和内容主要由三个要素组成:活动(Activities)、度量(Metrics)、修订(Revision)
目标、主题和目标群体用于定义哪些活动由谁在什么时间完成。这方面有许多活动供应商,既有标准化的库存,也有定制的产品。建议将活动和工具定一个时间表。
基于度量下的参数创建了一个详细的计划,其中包含将度量什么以及何时度量的时间安排。意识到收集、组织和分析数据所花费的时间是很重要的。重要的是,时间表包含一个行动计划。
-
-
在活动之前进行一次活动度量,然后在活动之后立即进行一次以观察立即的效果。
-
记住,度量的目的是更好地理解哪些度量是有效的,以及它们是如何工作的。
很自然,修订是在一个活动的测量之后和后续活动开始之前进行的。
在组织模块中定义和映射组织内的不同目标群体。将不同的活动组织到目标群体中是很有用的,这样就可以很容易地概述和控制为不同群体所做的活动、活动进行多长时间以及采取什么措施。
参考文献
1. Security Culture and Credential Sharing, 2021, KnowBe4 Research
2. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
3. Sommestad, T., Karlzén, H., & Hallberg, J. (2015). A meta-analysis of studies on protection motivation theory and information security behaviour. International Journal of Information Security and Privacy (IJISP), 9(1), 26-46.
4. https://securitycultureframework.net/
说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系[email protected]告知,以便及时处理,谢谢!
原文始发于微信公众号(汽车信息安全):青骥原创 l 网络安全文化实践