趋势与观点 | 推动网络文化的四个杠杆
1898年,《纽约时报》发表了一篇引人入胜的文章,题为《旧时代的骗局死而复生》(An Old Swindle Revived),该文章哀叹越来越多的美国人成为30年前死灰复燃的骗局的受害者。在这个著名的骗局中,骗子告诉受害者他被关在西班牙的监狱里,这使他无法获取大量现金。为了取回战利品,受害者必须拿出少量的钱,以换取未来的巨额奖励。一旦受害者依从了这些要求,骗子就会要求更多的钱,直到骗局被识破。
一个多世纪过去了,这种老骗局的效力似乎并没有减弱。网络骗子继续以外科手术般的精准利用人类的弱点——勒索高额支付,阻止对关键系统的访问并使企业破产。研究表明,高达95%的网络安全漏洞是由人为错误造成的。
为了应对日益加剧的网络威胁,一些组织正在投资数百万美元用于技术防御。但是,如果这些组织一直忽视最薄弱的环节——人的因素,它们将永远无法实现网络韧性。
根据我培训来自数十个国家的网络领导者的经验,具有网络韧性的组织都会将人们的意识而非技术置于其网络安全战略的中心。过度依赖技术不仅会浪费金钱,还会造成一种错误的免疫感。
创建一支精通网络的员工队伍并不一定是件复杂的事情,但越来越多的数据泄露事件源于人类的欺骗,证明大多数组织仍然在这方面犯了错误。组织可以通过四种不同的方式推动网络文化:在高层设定正确的基调、创造心理安全、利用技术和游戏化网络安全培训。
图片来源于公共图片库
所有精通网络的组织都有一个共同点——高层的高度重视。他们的最高领导层在态度、信念和行动上以身作则。他们还将网络转型与更广泛的业务目标联系起来,并坚定地表明网络弹性是支撑业务增长和客户信任的战略问题。当员工看到高管表现出对网络韧性的坚定承诺时,他们很可能会效仿,从而在整个组织中产生连锁反应。
创建健康的网络安全文化需要时间,没有捷径。正如通用电气前CEO Jeffrey R. Immelt所说:“如果不改造企业文化和既定的做事方式,就无法实现转型。”首先,高管们要清除可能滋生网络入侵的破坏性做法。以下是有害网络环境的三个典型表现:
项目团队不断发布带有易于利用的安全漏洞的解决方案。在“利润高于一切”的高压文化推动下,他们优先考虑上市速度和成本。
高管们通过批准数十项政策豁免、将敏感数据下载到未加密的设备或与审查不严的供应商建立战略联盟,仅对网络安全进行口头承诺。
首席信息安全官(CISO)缺乏组织地位,网络安全资金严重不足。可以预见的是,网络安全人员总是承受着压力,感觉自己不被重视,而且很难在他们的岗位上维持下去。
CEO必须定期通过电子邮件更新、全员吹风会和其他非正式沟通渠道提醒员工什么是危险的。但领导力的本质是行动。为了创造持久的变革,高管们必须主动提升自己在网络风险监督方面的技能,并积极参与网络治理会议和网络危机应对演习。此外,通过公开赞扬网络英雄,领导层可以强化积极的行为,激励他人效仿。
图片来源于公共图片库
另一个重要因素是促进心理安全。员工必须自由、公开地质疑根深蒂固的规范并提出疑虑,而不必担心产生负面影响。心理安全现在比以往任何时候都更加重要,大多数员工远程访问高价值系统并应对与COVID-19相关的焦虑。
为了做到这一点,管理层必须明确向员工保证,无论其来源如何,都可以挑战高风险请求,例如更改客户银行详细信息。那些鼓励员工从错误中吸取教训的组织发现,报告的事故和侥幸脱险的案例急剧增加。这使安全团队有足够的时间在威胁失控之前消除威胁。
但网络意识计划并不是灵丹妙药。无论您如何努力,总会有一个粗心的员工不小心点开一个网络钓鱼链接,给威胁者打开一个后门来破坏高价值的系统。您可以通过以下五种方式使用技术来加速网络文化转型项目:
对所有付款处理实施双重审批。欺骗两个人比欺骗一个人更难。此外,鼓励一线员工熟悉客户的习惯,以增加发现可疑请求的机会。例如,由于所谓的客户在国外“搁浅”或“被扣为人质”而要求紧急电汇资金的请求应该引起警惕。
部署商业密码管理器,为员工提供安全、顺畅的数字体验。密码管理器是加密的保管库,用于存储和记住各种应用程序或网站的用户凭据。因为用户只需要记住一个主密码,密码管理器既安全又方便。
强制多因素身份验证(MFA)以访问高价值应用程序、交易或者用户从不受信任的位置访问企业网络。MFA需要将用户知道的信息(例如用户名和密码)与用户拥有的信息(例如一次性密码(OTP)或用户身份(面部或指纹识别))结合起来。据微软称,与单独使用密码相比,MFA可以将身份泄露风险降低约 99.9%。
对大多数用户来说,维护几十个复杂得令人抓狂的密码简直是一种负担。不出所料,多达 50% 的帮助台呼叫都与忘记密码有关。组织可以通过加速单点登录 (SSO)项目来消除这种负担。SSO使员工能够使用一组凭据(例如用户名、密码和MFA令牌)访问多个本地和基于云的应用程序,从而减少了攻击面并改善了数字体验。
图片来源于公共图片库
大多数人宁愿在邮局排队、报税或去看牙医,也不愿参加强制性的安全培训。但是,尽管效率低下,大多数公司还是继续把乏味的合规模块塞进员工的喉咙里。更糟的是,大多数强制安全培训模块都充斥着负面信息,例如不合规的严重后果。基于合规的安全培训的积极影响很少能持续超过一两天。
但网络安全意识不应该成为一件糟糕的事情。有远见的组织正在将游戏化概念融入他们的安全培训项目,来扭转这些长期存在的刻板印象。企业领导者使用游戏奖励(例如积分、在线徽章和其他奖励)来激励员工积极接受网络安全价值观。
例如,企业领导者可以通过向始终提供无错误代码的开发团队奖励积分,鼓励软件开发人员尽早将网络安全融入系统开发生命周期。相反,每当开发团队发布存在严重安全缺陷的代码时,就会从他们那里扣分。同样,前线团队可以因维护基本的网络安全状况而获得积分,例如在与外部各方共享个人身份信息之前对其进行加密。
让安全变得有趣会激励员工按照自己的意愿接受安全原则,而不是将其视为邪恶的东西。它还显著降低了安全成本,因为将控制嵌入到新系统中比修复实时环境中的漏洞要便宜得多。
与从一种新兴技术转向另一种新兴技术的组织不同,具有网络韧性的企业将人置于他们所做一切的中心,从而采取不同的行动。他们形成了一种深刻的内在信念,即保护企业免受网络威胁是每个人的责任,从董事会到一线人员。他们认为,对抗网络威胁需要流程、技术和人员投资的结合,但最关键的因素是修复基于人的漏洞。
您可以在此处下载全面的CISO手册-CISO手册:发展网络弹性文化:
https://hub.cyberleadershipinstitute.com/posts/ciso-playbook-developing-a-cyber-resilient-culture
编者按:本文于2021年10月29日首次发表于ISACA官网News and Trends /Newsletters/@ISACA。尾注略。文章内容仅代表作者本人观点。更多ISACA的关于网络弹性和网络成熟组织的资源,请登录https://www.isaca.org/enterprise/cmmi-cybermaturity-platform了解详情。
作者:Phil Zongo是Cyber Leadership Institute的首席执行官 他还是畅销书《网络弹性的五个支柱》(the Five Anchors of Cyber Resilience)的作者,并在2017年获得ISACA全球最佳文章/图书奖。
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。