在負(fù)責(zé)保護(hù)和改善企業(yè)網(wǎng)絡(luò)安全的個(gè)人中，首席信息安全官(CISO)通常被視為這項(xiàng)工作的執(zhí)行官。也就是說(shuō)，為了企業(yè)向廣泛的遠(yuǎn)程工作的轉(zhuǎn)變，這為將安全納入其他部門(mén)的職責(zé)范圍提供了一個(gè)令人信服的理由。

冠狀病毒疫情已經(jīng)消除了了辦公室的物理屏障，隨著網(wǎng)絡(luò)攻擊媒介數(shù)量的增加，使企業(yè)面臨無(wú)數(shù)的漏洞?，F(xiàn)實(shí)情況是，每個(gè)在家遠(yuǎn)程工作的員工都是一個(gè)潛在的漏洞，而且即使在數(shù)據(jù)泄露事件不斷增加的情況下，由于員工安全習(xí)慣仍然值得懷疑，因此在整個(gè)組織內(nèi)培養(yǎng)安全文化從未變得如此重要。

[[343371]]

通過(guò)文化提高安全性

人們?cè)谛侣勚锌吹讲煌臄?shù)據(jù)泄露事件，instagram、TikTok和YouTube上的億萬(wàn)用戶(hù)在最近的泄露事件中遭到了帳戶(hù)入侵。這些實(shí)例證明了強(qiáng)有力的安全行為(無(wú)論在工作還是在家中)的至關(guān)重要性，以及它們所需的培訓(xùn)和專(zhuān)心程度。

安全方面的共同責(zé)任與各級(jí)員工如何看待安全的重要性緊密相關(guān)。如果安全在文化中根深蒂固，他們將有能力保護(hù)自己。當(dāng)然，這說(shuō)起來(lái)容易做起來(lái)難。

創(chuàng)建和維護(hù)安全文化是一項(xiàng)永無(wú)止境且不斷發(fā)展的任務(wù)，影響員工的行為通常是這項(xiàng)工作中最具挑戰(zhàn)性的部分。人們已經(jīng)對(duì)所面臨的安全威脅感到麻木，盡管他們了解潛在的風(fēng)險(xiǎn)，但對(duì)此卻無(wú)能為力。例如，最近的一項(xiàng)研究表明，有92%的英國(guó)員工知道反復(fù)使用使用相同的密碼是有風(fēng)險(xiǎn)的，但是64%的受訪(fǎng)者還是這樣做。那么，如何克服這種不和諧并促使人們參與安全工作?

從企業(yè)高層鼓勵(lì)網(wǎng)絡(luò)安全實(shí)踐

隨著安全重要性的不斷提高，組織需要高層管理人員來(lái)堅(jiān)定地倡導(dǎo)安全性。

首席信息安全官(CISO)通常負(fù)責(zé)這項(xiàng)工作。他們通常要負(fù)責(zé)領(lǐng)導(dǎo)安全團(tuán)隊(duì)和負(fù)責(zé)保護(hù)所有信息資產(chǎn)的程序，并確保災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性和事件響應(yīng)計(jì)劃已經(jīng)到位并定期進(jìn)行測(cè)試。此外，首席信息安全官(CISO)及其團(tuán)隊(duì)通常負(fù)責(zé)評(píng)估新技術(shù)，及時(shí)了解合規(guī)性法規(guī)，監(jiān)督身份和訪(fǎng)問(wèn)管理，向最高管理層傳達(dá)風(fēng)險(xiǎn)和安全策略并提供培訓(xùn)。

如今，首席信息安全官(CISO)還致力于保護(hù)高度分散的員工和客戶(hù)(無(wú)論是在辦公室還是在家中或者兩者兼而有之)，并應(yīng)對(duì)這種混合環(huán)境帶來(lái)的新的安全挑戰(zhàn)和威脅。因此，對(duì)于其他高級(jí)管理人員來(lái)說(shuō)，尤其是通過(guò)交流、培訓(xùn)和最佳實(shí)踐的實(shí)施來(lái)幫助促進(jìn)和推動(dòng)組織的安全文化，比以往任何時(shí)候都更加重要。

在首席信息安全官(CISO)繼續(xù)帶頭組織安全計(jì)劃并定義安全使命和文化的同時(shí)，其他企業(yè)高管也可以大力支持這些計(jì)劃，以確保它們?cè)谠妇?、開(kāi)發(fā)、實(shí)施和持續(xù)執(zhí)法的整個(gè)過(guò)程中的完整性。最高管理層的參與還可以幫助首席信息安全官(CISO)專(zhuān)注于最重要的安全問(wèn)題，并調(diào)整程序以確保其與更廣泛的業(yè)務(wù)計(jì)劃和策略保持一致，從而有助于在不損害安全性的前提下獲得更廣泛的支持。

首席運(yùn)營(yíng)官(COO)是這種跨部門(mén)協(xié)調(diào)的合作伙伴。由于該角色通常直接向首席執(zhí)行官報(bào)告，并且被認(rèn)為是指揮鏈中的第二角色，因此，首席運(yùn)營(yíng)官(COO)將能夠提供倡導(dǎo)安全性及其如何影響員工、客戶(hù)、產(chǎn)品以及最終業(yè)務(wù)所需的權(quán)威。這意味著，今天一個(gè)優(yōu)秀的首席運(yùn)營(yíng)官需要鼓勵(lì)一種企業(yè)文化，以全面支持安全工作，同時(shí)還要確保在戰(zhàn)術(shù)層面將安全放在首位。

但是，首席運(yùn)營(yíng)官(COO)并不是唯一需要充當(dāng)安全倡導(dǎo)者的人。所有企業(yè)高管在建立強(qiáng)大的安全文化中都可以發(fā)揮關(guān)鍵作用。由于他們與不同的利益相關(guān)者有聯(lián)系，因此他們將能夠分享各種見(jiàn)解。

例如，首席運(yùn)營(yíng)官可以更好地吸收董事會(huì)的意見(jiàn)，這對(duì)于確保首席信息安全官(CISO)了解企業(yè)的風(fēng)險(xiǎn)承受能力至關(guān)重要，這將直接影響創(chuàng)新和收入。首席財(cái)務(wù)官(CFO)可以分享有關(guān)支出優(yōu)先事項(xiàng)和保護(hù)財(cái)務(wù)系統(tǒng)所需的各種義務(wù)的見(jiàn)解，而首席人力資源經(jīng)理(CHRM)可以從員工那里獲得有價(jià)值的數(shù)據(jù)。首席人力資源經(jīng)理(CHRM)在推動(dòng)安全文化發(fā)展方面發(fā)揮了重要作用;他們的參與程度通常決定著發(fā)展成功的安全意識(shí)文化的整體成功。

具有安全意識(shí)的高層管理人員將能夠介入，以支持首席信息安全官(CISO)的使命，即安全性是重中之重。

以安全為先

從最高層得到模型行為，將有助于強(qiáng)調(diào)組織對(duì)網(wǎng)絡(luò)安全的集體承諾。通過(guò)這種方式，員工在保持企業(yè)的數(shù)據(jù)安全方面的職責(zé)分擔(dān)責(zé)任感。為此，至關(guān)重要的是，現(xiàn)代公司的高管必須是安全的開(kāi)拓者，尤其是在當(dāng)前形勢(shì)下。

網(wǎng)絡(luò)犯罪分子采用的技術(shù)越來(lái)越復(fù)雜，在暗網(wǎng)上出售數(shù)據(jù)泄露和被盜信息的風(fēng)險(xiǎn)從未如此猖獗。隨著疫情繼續(xù)影響信息安全的發(fā)展，企業(yè)高層、中層管理人員和初級(jí)員工必須共同努力，以實(shí)現(xiàn)確保工作場(chǎng)所安全的集體目標(biāo)。

樹(shù)立安全意識(shí)文化絕非易事，但其長(zhǎng)期收益勝過(guò)任何棘手的問(wèn)題，將有助于使企業(yè)在日益增長(zhǎng)的威脅環(huán)境中無(wú)懈可擊。