在這個數(shù)字化快速發(fā)展的時代，網(wǎng)絡(luò)安全系統(tǒng)中最薄弱的環(huán)節(jié)就是人。如果沒有良好的網(wǎng)絡(luò)安全文化，安全建設(shè)工作就難以向前邁進一步。網(wǎng)絡(luò)安全文化存在于每個員工的內(nèi)心，是引導和規(guī)范其網(wǎng)絡(luò)行為的“心鏡”，人們通過將自己的行為與之相比較，來判斷自己的行為是否應(yīng)該發(fā)生。

對于現(xiàn)代企業(yè)組織而言，打造健康、先進的網(wǎng)絡(luò)安全文化具有重大的現(xiàn)實意義和作用，不僅可以使網(wǎng)絡(luò)應(yīng)用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護網(wǎng)絡(luò)安全環(huán)境的重要性，以及自己在保護企業(yè)和個人網(wǎng)絡(luò)安全方面的責任與角色。

構(gòu)建網(wǎng)絡(luò)安全文化的挑戰(zhàn)

Forrester Research首席分析師Jinan Budge將網(wǎng)絡(luò)安全文化定義為一種可信任的工作環(huán)境：每個人能夠理解企業(yè)網(wǎng)絡(luò)安全的重要性，并把自己看成是維護網(wǎng)絡(luò)安全的一分子；每個人都為能夠幫助網(wǎng)絡(luò)安全工作開展感到興奮，并希望企業(yè)的網(wǎng)絡(luò)安全防護工作做得更好。

培養(yǎng)網(wǎng)絡(luò)安全文化可以確保員工了解公司數(shù)字化發(fā)展中的風險是什么，以及可能的風險有哪些，從而正確應(yīng)對或報告這類風險。而且，這種安全文化有助于企業(yè)建立更堅固的防線來抵御網(wǎng)絡(luò)攻擊和可能的數(shù)據(jù)泄露，從而更有效地保護組織。

從某種意義上說，網(wǎng)絡(luò)安全文化還會直接影響公司的管理決策，特別是在需要進行預(yù)算權(quán)衡時。因為企業(yè)治理就是在決策和權(quán)衡過程中尋找最優(yōu)化的解決方案，而網(wǎng)絡(luò)安全文化將會決定整個企業(yè)未來在網(wǎng)絡(luò)安全建設(shè)方面的重視程度和優(yōu)先級。

雖然打造網(wǎng)絡(luò)安全文化可以降低安全風險并提升業(yè)務(wù)效率，但這條道路面臨重重挑戰(zhàn)。

• 缺乏足夠的安全預(yù)算。
• 不能得到公司管理層的支持。
• 對網(wǎng)絡(luò)安全的宣教不足，一些員工對接觸安全有天生的畏懼感。
• 安全團隊和業(yè)務(wù)部門在共同提升網(wǎng)絡(luò)安全意識水平時協(xié)同不足。
• 缺乏勝任安全管理工作的CISO。

打造網(wǎng)絡(luò)安全文化的最佳實踐

打造健康的網(wǎng)絡(luò)安全文化既是一個戰(zhàn)術(shù)問題，也是一個戰(zhàn)略問題。在這個過程需要闡明目標，并弄清楚如何實現(xiàn)目標。它需要交流溝通技能，采取善解人意的做法，確保網(wǎng)絡(luò)安全與所有員工的利益密切相關(guān)，確保安全文化與更廣泛的組織文化相一致，這些都是確保成功實施網(wǎng)絡(luò)安全文化的。

以下總結(jié)了五個最佳實踐經(jīng)驗，可以幫助企業(yè)組織更好地開展網(wǎng)絡(luò)安全工作，打造健康的網(wǎng)絡(luò)安全文化。

1、制定明確的目標

創(chuàng)建網(wǎng)絡(luò)安全文化的第一步是定義基本指標，并確保企業(yè)中每個與網(wǎng)絡(luò)安全相關(guān)者都知道該計劃。該計劃應(yīng)該詳細說明當網(wǎng)絡(luò)安全事件發(fā)生時必須采取的步驟。制定計劃可以大大減少網(wǎng)絡(luò)安全事件對業(yè)務(wù)造成的損害，并可以減輕由此造成的損失。

2、從高層開始推動

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業(yè)人員應(yīng)了解公司整體業(yè)務(wù)戰(zhàn)略，識別出與該戰(zhàn)略相關(guān)的風險，并用業(yè)務(wù)部門能夠理解的術(shù)語傳達這些風險。一旦組織的高管們了解風險是什么、要求是什么，他們就能夠堅定支持安全部門的工作。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因為他們更專注于自己的工作。另一方面，網(wǎng)絡(luò)安全是一個不斷變化的領(lǐng)域，給他們學習所需的資源，并實施一些激勵措施。網(wǎng)絡(luò)安全文化建設(shè)需要了解每個利益部門的潛在風險和面臨的挑戰(zhàn)。然后在此基礎(chǔ)上，為每個利益相關(guān)者群體打造安全文化構(gòu)建計劃。

4、讓安全意識培訓變得有趣有益

一般的安全培訓課程會讓員工覺得很無聊。如果企業(yè)想認真對待網(wǎng)絡(luò)安全文化和意識培養(yǎng)，常常需要更好的方法。其中重要的一點，就是需要直觀地向員工表明，如果發(fā)生違規(guī)行為，每一位員工都可能受到影響，或者可以向員工展示數(shù)據(jù)泄露的危害視頻。當員工親眼看到安全事件造成的嚴重后果時，會有更深刻的感觸。

5、持續(xù)的訓練和優(yōu)化

網(wǎng)絡(luò)犯罪分子每天都在尋找新的漏洞，企業(yè)也應(yīng)該如此。應(yīng)該不斷讓員工了解各類網(wǎng)絡(luò)安全漏洞以及在日常辦公最容易造成網(wǎng)絡(luò)安全風險的舉動。從而反復(fù)進行學習及練習。同時，改變企業(yè)網(wǎng)絡(luò)安全文化可能需要五年或者更長時間，但CISO的平均任期只有兩年多一點。因此，組織應(yīng)確保內(nèi)部有繼任者可以繼續(xù)推動這項工作，以實現(xiàn)網(wǎng)絡(luò)安全文化氛圍的真正變革。