建设强大的安全文化,增强韧性和数字信任

Diana Calderon
Author: Diana Calderon, CISM
Date Published: 23 August 2023
Related: 数字信任现状

In today’s digital age, 公司经常面临网络安全威胁,这些威胁可能对其声誉造成无法弥补的损害, 财务和客户信任. 建立稳固的网络安全文化对任何公司的网络战略都至关重要,应该成为组织和安全团队的首要任务.

但什么是安全文化? 安全文化是共同的价值观, 帮助组织保护其资产的态度和行为, including people, data and systems. 这是一种积极主动的方法,强调安全作为业务优先事项的重要性,并涉及到每个人. 建立一个健全和积极的安全文化不是一个一次性的项目. 相反,它需要不断努力跟上新威胁、新技术和新法规的步伐.

为什么安全文化很重要? 强大的安全文化对您的组织有几个好处,包括:

  • 降低网络威胁的风险当你的员工了解安全的重要性以及如何保护组织的资产时, 他们不太可能落入网络钓鱼骗局和恶意软件的圈套, 或者犯其他可能导致入侵的安全错误.
  • 与客户建立信任:一个强大的安全文化可以通过表明你关心隐私和安全来帮助你赢得客户的信任.
  • Enhancing compliance:良好的安全文化可以帮助您遵守法规和标准, such as GDPR, PCI DSS, HIPAA and ISO 27001, 通过确保您的员工遵循所需的安全控制和程序.

如何创建强大的安全文化? 构建强大的安全文化需要组织中每个人的共同努力. 安全不仅是一个IT问题,也是一个人的问题. According to Verizon在美国,82%的违规行为,包括网络钓鱼、社交攻击或滥用,都涉及人为因素. Unfortunately, 人已经成为主要的攻击媒介, 最重要的挑战之一是有效地管理人类风险. 以下是建立和维护强大的安全文化的一些关键步骤,这些文化还可以促进弹性和数字信任:

  • Begin at the top安全文化始于领导. 公司的领导者应该是第一个采用安全思维的人,并为组织的其他成员树立榜样.
  • 从评估开始在提高你的安全文化之前, 您必须了解组织的文化及其当前的安全状态. 通过将安全性与现有文化结合起来,您将有更大的成功机会. Conduct a thorough security assessment 识别你的关键资产, 潜在的威胁和漏洞, 并利用调查结果制定全面的安全战略.
  • 制定安全策略安全策略是概述组织安全计划目标的路线图, 目标和行动计划. 该战略还应包括指导员工处理敏感信息的政策和程序, 报告安全事件并遵守法规要求. 您应该使您的策略与业务保持一致,并致力于将安全性集成到业务的所有方面, 从采购到产品开发再到客户服务. 
  • 提供培训和意识: 安全意识培训 是帮助员工必不可少的吗, 承包商和合作伙伴了解他们在安全方面的角色和责任,并且应该持续下去, 这不是一次性的事情. 关于安全最佳实践的定期培训课程可以帮助您的员工了解安全漏洞的风险和后果, 促进安全意识的文化.
  • Know your audience当涉及到安全问题时,了解你的受众是至关重要的. 不同的团队可能有不同的安全问题. 例如,财务团队可能会担心与工程团队不同的事情. 所以,确保你知道你在和谁说话,以及他们的具体需求和问题. 花点时间为你的听众量身定制你的信息和倡议,这样他们就能保持参与和了解情况.
  • Be prepared弹性是指抵御网络攻击并从攻击中恢复的能力. 它需要技术和组织措施的结合, such as backups, redundancy, 灾难恢复计划和事件响应程序. 强大的安全文化可以通过培养准备心态和模拟真实网络攻击期间可能发生的情况来提高弹性.
  • Foster digital trust:建立数字信任意味着确保客户, 合作伙伴和其他人相信你的公司可以保证他们的数据安全并保护他们的隐私. To do this, 组织必须在使用个人数据方面保持透明和负责任,并遵守GDPR和CCPA等法律法规. 拥有强大的安全文化是促进道德行为和尊重隐私的一种方式, 哪些可以帮助建立数字信任. 
  • Simplify the policies安全策略是安全文化的重要组成部分. 你的安全政策和程序应该是清晰的,协作的,所有员工都可以访问. 每个人都应该知道公司对他们的期望是什么,以及不遵守规定的后果. 
  • 培养积极的安全意识文化安全文化不应该是惩罚性的或基于恐惧的. 您可以通过员工如何与安全团队互动来判断安全文化是否积极. 例如,表彰和奖励那些表现出良好安全措施的员工, 通过报告安全事件和关注点. 这可以是一个简单的公开承认或小奖金. 赋予他们权力,不加评判地庆祝人们的胜利、报告、问题和关注.
  • 打造安全冠军澳门赌场官方下载安全团队通常人手不足, 但是,如果您可以帮助您的安全团队扩展他们的资源并灌输一种设计安全的心态呢? 通过将来自不同团队和背景的专业人士聚集在一起, 您可以培养一种澳门赌场官方下载意识,支持并授权每个人优先考虑安全性,并为创建安全环境而努力.
  • 监控、测量和报告: Finally, 监视和度量安全文化计划的有效性是必不可少的. 定期进行调查和评估,以衡量员工的知识和行为, 并使用结果来确定需要改进的地方. 与您的关键利益相关者分享这些指标,以展示项目的投资回报,并使用结果来确定需要进一步支持的任何领域. 

建立强大的安全文化可能看起来令人生畏,但这是一项明智的长期投资. 有了正确的承诺, 资源与领导力, 强大的安全文化的好处是值得的:一个更安全、更有弹性的组织, 加强安全团队和其他部门之间的协作, improved compliance, 增加了客户的信任. In addition, 具有强大的安全文化, 通过促进对新威胁的准备,您可以积极地影响组织的安全状态, 帮助您的组织更有效地抵御和恢复网络攻击.

Editor’s note: 有关建立数字信任和获取来自8个以上的见解的其他策略,100位数字信任专家, 下载ISACA最新的《澳门赌场官方软件》报告.