很多企业都错误地认为——IT部门（或者其他部门）只要有一些网络安全专家，就足以保护企业其他99%以上的员工，业务敏感或者对业务至关重要的信息也就不会被恶意的外部犯罪分子发现。不幸的是，很多IT部门都存在同样的错误认识。95%以上的IT员工轻易地认为，有了安全部门（可能只占IT员工总数的5%甚至更少），他们就不会惹上麻烦。这种认识一再被证明是错误的，但却仍然存在。

在当前安全意识普遍存在的时代，几乎每家企业都有安全计划。一项安全计划包括由首席信息安全官或者高级安全主管制定的政策、实施政策的操作控制措施、实施控制措施的工作规则和程序、支持规则和程序的工具，并建立安全运营部门，使用工具来监视规则和程序的执行，审核控制措施的一致性和有效性。这听起来很复杂，但是很多IT部门都能够很好地理解一项成功的安全计划的关键所在，并且很多企业已经在某种程度上实现了。

然而，安全计划和安全文化是两回事。在安全文化中，员工对企业面临的网络安全威胁有着充分的了解。他们知道在其行业或者市场中存在的恶意行为者的动机和意图。通常会在例行业务会议上讨论网络安全问题和关注点，例如，季度业务审查、业务战略研讨、预算规划会议、并购评估等。这不局限于定期召开的专门讨论安全问题的会议，因为领导们和员工知道安全是日常业务工作不可分割的组成部分。工作于真正的安全文化环境中的员工在实施和加强安全防护方面发挥着积极的作用。

有些人可能会争论说，不可能在分布于多个地理位置运营的大型、多元化企业中建立真正的安全文化，但有大量证据表明，情况恰恰相反。很多金融服务公司都高度重视风险管理，并已形成了有效的安全文化。依赖于使用内部开发的知识产权的企业，例如制药公司，对网络安全也同样非常谨慎。很多大型跨国公司都建立了深入人心而且非常显目的安全文化。

IT部门应该树立榜样

如果IT部门没有安全文化，那就不可能在企业中建立安全文化。IT部门承担着监控大量恶意行为者操纵的路径和流程的责任，为的是不让这些犯罪分子在网络安全防御中占上风。如果整个IT部门不认真对待自己的网络安全职责，那么即使在整个企业中建立这样一种文化又会有什么希望呢？

虽然IT部门不能仅凭一己之力建立全企业的安全文化，但它应该树立这样的文化榜样，便于其他职能部门学习。然而，这种情况很少发生。有太多的IT部门把安全职责委托给了由安全专业人员组成的小团队，而其他员工在很大程度上忽略了这些安全职责。安全部门之外的很多IT部门通常会拒绝或者忽视在现有技术堆栈和操作程序中插入更严格的保护措施的指示，甚至反对这类指示。而且，当被要求协助解决与安全有关的审计问题或者对特定安全事件作出反应时，个别工作人员会表现出沮丧或者漠不关心，这类情况并不少见。安全培训通常被认为是在浪费时间，严重妨碍了个人其他更紧迫的职责。

建设文化

IT领导们怎样在自己的部门内建立安全文化？这里列出了6条要诀，如果能一直贯彻执行下去，必将有所收益。

1. 教育为上。让员工了解对企业造成威胁的恶意行为者一般是什么身份。讨论在其他拥有类似产品、服务、运营模式或者市场的企业内出现过的泄露事件案例。确保他们了解恶意行为者以前渗透网络防御并提取敏感信息所采用的主要方法。

2. 管理入手。建立网络漏洞的优先级列表，这通常被称为风险登记。让尽可能多的IT部门成员参与到列表工作中，添加项目并确定已知漏洞的优先级。奖励和表彰那些对风险登记册贡献最多或者最有洞察力的个人，以此鼓励其他人也做出贡献。

3. 以身示范。我以前的一位同事常说：“只要是老板感兴趣的事，都会让我着迷。”任何一名领导如果每天至少一次自发地表现出对某些与安全相关的话题感兴趣或者关注，那么他很快就会发现，其他领导和下属也在做同样的事情。这说明员工们从他们的领导那里得到了暗示——无论是有意识的还是下意识的。

4. 做好评估。每个人都熟悉管理大师彼得·德鲁克的观点，即，“评估过的东西才能管好”。其实很难设计好安全指标。IT部门能集中精力在全企业实施安全防御措施，并保持其有效性。出于可理解的原因，很多企业不愿意大张旗鼓地宣传其防御措施的有效性，如果不能与员工或者管理部门成员分享这些措施，那么这些指标不太可能对行动产生影响。

5. 区别对待。利用所有可能的机会，把员工在使用互联网时遇到的安全问题与他们在工作中遇到的安全问题进行类比。帮助你的部门成员了解被攻破的凭证、勒索软件、cookies和其他网络威胁怎样影响他们的个人生活，这样，他们在工作场所使用互联网时就会更加谨慎。

6. 要有处罚。理想情况下，我们只需要教育部门员工有关网络威胁和防御的知识，他们的行为也会相应地发生变化。然而，在实际工作环境中，不管是有意还是无意的违反政策、控制措施和操作程序时，都应该受到处罚。当业务结果受到损失时，员工必须接受个人处罚。他们必须知道安全控制措施是出于业务原因而制订的，不遵守这些控制措施将产生后果。显然应根据错误的严重程度对处罚进行分级，如果没有这样的处罚，将不利于建立安全文化。

领导文化运动

没有一个信息安全专业人员部门——不管他们有多聪明，资金有多充足，能够凭一己之力保护企业不受日常所面对的各种黑客、犯罪分子和民族国家全方位的入侵。事实上，在任何情况下都不可能实现绝对的安全保证，但企业如果能够建立一种安全意识文化，在这种文化中，每名员工都能了解他们面临的风险，并完全遵守所采取的防御措施，那么成功的可能性就会大大增加。虽然很少有人会反对这一说法，但很多人都不知道从哪里开始。安全部门必须有安全文化，因为这是他们的工作。安全部门之外的IT专业人员应全面接受这种文化，并积极地宣传推广。

当倡议者能够把漫不经心的旁观者转变为可靠的参与者时，革命就成功了。如果IT领导们能够避免出现过于繁琐的政策、控制措施和程序，并亲自去实践上面列出的要诀，那么他们就可以在IT部门成功地创建安全文化，为企业的其他部门树立榜样。IT领导们经常哀叹自己无法在企业里发挥更广泛的领导作用，其实这就是他们的机会！

作者：Mark Settle担任过七届首席信息官，在信息服务、企业软件、消费品、高科技分销、金融服务和石油天然气行业有着丰富的业务经验。

编译：Charles

原文网址：https://www.cio.com/article/3411056/how-to-establish-a-security-culture-within-it.html

责任编辑：周星如