如何制订有效的网络安全意识计划?
人员已成为全球网络攻击的主要媒介,正如Verizon2022年数据泄露调查报告所揭示的,现在对企业构成最大风险的是人,而不是技术。
根据SANS 2022安全意识报告,安全专业人员最关心的三大安全风险是:
- 网络钓鱼
- 商业电子邮件泄露(BEC)
- 勒索软件
三大威胁都与人员行为密切相关。因此,如何制订有效的安全意识计划已经成为人为风险管理的关键所在。很多企业在安全意识实践中面临两难境地,力度小了员工敷衍了事,而力度大了,如果方式不对,有时候也会起到反作用,甚至会让安全意识培训在企业内部落下“不讲武德”的坏名声。
识别、管理和量化人为风险的能力可以作为评判企业安全意识计划成熟度的重要指标,企业也可以参考SANS研究所创建的安全意识成熟度模型(下图)来评估其意识计划的成熟度。
安全意识成熟度模型能帮助企业识别和评估其安全意识计划的成熟度水平,并确定改进途径。
根据SANS的调查,最有效的安全意识计划都有一个共同特征,那就是那些专职的管理和执行人员多,规模较大的安全意识团队能更有效地与安全团队合作,识别、跟踪和优先考虑最重要的人为风险,并吸引、激励和培训其他员工来管理这些风险。
安全意识计划不再仅仅是应付合规的年度培训,而是公司有效管理人为风险至关重要的工作,这也是安全意识计划获得领导支持的关键所在。
从改变行为开始
在今年8月初举行的SANS 2022安全意识峰会上,Brex的安全意识工程经理Cassie Clark讨论了人员行为背后的驱动因素。这些驱动因素包括个人的知识、动机、生物学和下意识思维,也包括外部的社会规范和经验。
要改变人员的某种行为,首先应该定义该行为,并确定该行为背后的基本原理,并考虑如何通过最少的干预对其施加影响。为了灌输安全思维,企业需要将安全集成到日常流程中,使安全易于“消化”,并通过适当的技术缓解措施来提供支持。
Cassie Clark分享了一个实用的安全意识计划入门指南,包括以下步骤:
- 与安全团队协调以确定需要矫正的三大人员行为
- 选择一种行为并列出其背后可能的原因
- 将该行为的规范添加到安全消息中。小心避免噪音和信息疲劳,尊重不同的学习方式,并利用社交推动学习。
- 开始收集数据
- 用领导力将安全意识方法社会化
眼光要超越安全意识
安永公司美洲人类网络风险和教育负责人Alexandra Panaretos提出了一个有趣的问题:“如果我们关注的是未来的而不是现在的身份,该怎么做?实现长久安全业务运营的关键是什么?”
答案的关键在于:持续降低人为风险。
Panaretos确定了人员风险的四个关键要素:
- 参与:创建基于角色和风险的活动和沟通,在正确的时间向正确的人传递正确的信息,以支持正确的安全行为
- 赋能:为员工提供知识和工具,展示正确的安全行为以及如何在面临威胁时做出正确选择
- 执行:将网络安全整合到企业的岗位职能和业务生命周期中
- 发展:安全文化建立在与安全团队成员的信任、有效沟通和积极体验之上
同事对话是改变行为的催化剂
Layer8首席执行官Sarah Janes认为安全意识出色的员工可以通过与同事对话和协作促进企业安全文化变革。Janes的方法参考了Edgar Schein的组织文化科学研究和David Cooperrider的优势强化理论。
Janes认为,如果安全意识出色的员工能够遵循(对话+协作)*积极关注的公式,就可以推动全体企业人员的行为改变。更积极主动并与同事互动的安全意识优秀人员可以有效降低风险,因为员工更愿意向同事报告安全事件和怀疑。
最后,Sarah Janes提供了改变人员行为的路线图:
- 定义行为:利用安全意识出色的员工发现错误行为
- 确认成果:将点连接起来,用数字展示成果
- 查找数据源:如果可以看到业务风险,则更容易更改系统
- 收集数据:激励机制和游戏化,但要具有包容性
- 呈现数据:来自其他企业的用例研究
- 使用数据:用数据来发现更多的安全意识优秀员工
如何让开发人员热爱安全
Sage公司的Madeline Howard和Sophia Adhami分享了安全开发的安全意识计划经验:首先要深入了解开发人员的世界。他们采访了软件安全人员、产品负责人和和安全意识经理,还参加了所有团队的会议,目标是了解开发人员的思维方式——他们使用的工具、复杂的技术环境,以及他们成功的原因。通过了解开发人员的行为,Howard和Adhami希望建立尊重并承认开发人员的专业知识。
根据内部研究的成果,他们接下来设计了支持变革的安全意识架构,并赢得了开发人员的认可。高层管理人员和软件安全经理就“安全是重中之重”这一基调达成共识,然后他们编制了量身定制的消息,将共识传达给开发人员。所有开发人员都欣然接受了针对技术和漏洞的培训,以充分了解不安全代码给业务带来的风险。Sage还有一套完善的安全意识激励机制,包括:安全冠军名人墙、CISO邮箱、奖品和T恤、内网上的文章等。
Howard和Adhami从安全意识项目一开始就监测变化,因而能够向领导层和开发人员证明,投资安全意识计划可以将修复漏洞的时间缩短82%。
这个案例的主要收获是:
- 您不必是技术人员,但你一定要善于倾听
- 你不是在创造一种新的文化,你正在调整文化。我们正在提高安全能力,以便全体员工都朝着同一个方向发展
- 技术人员想做正确的事,你必须想办法让他们参与进来
结论:用文化做推手
成功的安全意识案例还有很多,例如Equifax公司的安全意识项目。该公司在2017年的重大网络安全事件后开始积极改变其安全文化,并取得显著成果,这些都证明了关注网络安全中“人的因素”的重要性。
最重要的是转变企业文化,使其成为能够在整个业务流程中提高人员安全意识的推动力。制订并实施有效的安全意识计划并非遥不可及,CISO们可以多留意同行业的成功案例,并将最佳实践应用自身企业。