企业网络安全文化撬不动？不妨试试这五招！

据世界经济论坛《2023年全球风险报告》，95%的网络安全漏洞是由于“人为错误”造成的。另据国际市场研究机构益普索(Ipsos)于2023年底的一项调研显示，近三分之一(31%)的美国人表示，他们在2023年不幸沦为了在线金融欺诈或网络犯罪的受害者，其中35-54岁(36%)年龄段的人更容易被骗。2023年，企业因遭遇网络攻击而损失的平均金额为130万美元。网络犯罪分子依然在精准地利用着人们固有的“人性弱点”，洗劫着有一定经济基础却安全意识薄弱的个人群体。利用钓鱼邮件传播勒索病毒，发起针对政府和企业的攻击，阻止对关键信息系统和数据的访问，并导致政府运作停摆，甚至企业经营停滞。

一些企业和机构每年投资数百万、数千万元，试图以安全技术防御来应对日益加剧的网络威胁。但是，阻击网络攻击与降低数据泄露风险需要技术、流程与人的有机整合，三者不可厚此薄彼。如果这些组织一直忽视其最薄弱的环节—“人为因素”，它们将永远无法实现网络安全与网络弹性。根据业内最佳实践，一家具有高度网络弹性的组织，其核心是“以人为中心”，将全体员工的安全认知、态度和信念，而不是安全技术，置于其网络安全战略的中心。全体员工形成了一种根深蒂固的信念，即保护企业免受网络威胁是公司上下每一个人义不容辞的责任。组织过度依赖于安全技术防御，堆砌各种安全产品和平台不仅浪费金钱，还会制造出一种对网络攻击与数据泄露产生“免疫”的错觉。

培养一支安全意识强的员工队伍，是一件看似简单又极具挑战的事情。当下，大多数组织在企业网络安全文化建设方面存在很多误区，依然执着地走着弯路。组织可以尝试通过以下五种不同的方式推动网络安全文化建设：高层力挺安全定基调、营造团体心理安全感、制定安全行为激励计划、人性化利用技防措施和安全意识培训游戏化。

一、高层力挺安全定基调

所有网络安全文化优秀的组织都有一个共同点~高层力挺安全，在顶层设计上，将网络安全融入到公司使命与愿景中，将安全基因注入现有企业文化，清晰地释放“安全是不可妥协的”强硬基调。在这样的组织里，最高管理层通常能够以身作则，在对待安全的态度、信念、技能与最佳实践等方面均起着模范带头作用。他们能够深刻理解安全，将网络安全目标与业务目标联系起来，并向全公司传达鲜明的立场，网络安全与网络弹性是支撑业务增长、保持企业竞争力和赢得客户信任的战略性商业问题。董事长或CEO定期通过邮件与员工开展非正式沟通，常态化宣导和提醒全体员工网络安全的重要性，在行动上积极参与网络安全演练和安全沟通会，主动提升自身安全意识与风险防范技能，并支持建立短期及长期的安全激励计划，对安全行为表现优异的员工进行公开表彰和奖励。当员工看到高管对网络安全与网络弹性展现出坚定的承诺，言行一致、说一不二时，从中层干部到一线员工很可能会受到感染，于是争相效仿，从而在整个组织中产生连锁反应。

在组织内打造一个健康的网络安全文化需要时间和耐心，不可能一蹴而就。文化决定企业未来，就企业网络安全文化而言，高管们首先要清除为网络入侵创造滋生土壤的破坏性行为和做法。

以下是“有毒的”网络文化环境的三个典型表现:

1.高管们仅限于口头上重视和支持网络安全，在安全意识与文化专业人员配备、安全意识与文化预算、资源配置与协调均跟不上，且高管带头“搞特权”：例如不参加安全意识培训、不参加网络钓鱼或安全应急模拟演练、超脱于公司安全制度与策略之外（如获得超级账户特权，获得安全处罚豁免，将敏感数据下载到未加密的个人设备上，与安全审查不合格的上下游供应商合作等等）。

2.首席信息安全官(CISO)/安全团队负责人在整体组织架构中的地位不高，话语权较小，缺乏领导力。相应地，网络安全相关资金预算与人力配备严重不足。由此可以预见的是，在这样的公司，安全与业务经常发生冲突或阻力重重，安全人员经常感到压力重重，感觉不受重视，很难在自己的岗位上坚持下去。

3.开发团队和项目管理团队经常发布带有安全漏洞或不满足安全合规要求的产品或解决方案。受到“利润高于一切”的高压文化的影响，他们往往优先考虑的是产品或平台发布的进度和成本，安全成为了“事后诸葛亮”，而不是“防患于未然”。

二、营造团体心理安全感

在充满不确定性的当下，心理安全感比以往任何时候都更加重要。在企业内，心理安全感是一种全体员工共有的信念，基于这种信念，员工感到可以主动承担安全风险、公开地表达自己的想法和顾虑、坦诚地指出安全问题、自由地挑战和质疑不当的风险行为、承认自己的错误--而不必担心负面后果。心理安全感会让员工更有参与感和动力，因为他们感受到自己的安全贡献很重要；心理安全感会让更多的观点得到倾听和思考，带来更好的安全决策；心理安全感可以培养一种持续学习和改进的文化，员工可以舒适地分享自己的错误并从中学习。

管理层和安全团队需要明确地向员工表明，在不触碰法律合规底线、公司安全管理制度红线的情况下，容许他们在一定程度上犯错，有一定灰度，而不是非黑即白（例如，对钓鱼模拟演练中招的员工有一定包容度，基于人性的弱点对于员工使用弱口令有一定的同理心等等），鼓励员工从错误中吸取教训，而不是一味地在强制、高压之下使员工产生恐惧和焦虑，从而员工对安全产生抵触或反抗，因担心被通报处罚而选择隐瞒安全隐患，谎报或不报安全事件，导致网络安全风险进一步恶化。

三、制定安全行为激励计划

在企业网络安全文化建设过程中，识别出员工的关键风险行为是关键一环，另外不可或缺的是针对安全行为配套的激励计划。有效的风险行为改变需要合适的激励措施配合。很多安全意识与文化项目失败原因之一就是员工参与度不高，过分强调处罚，而激励缺失。企业或行业内每次发生安全事件都是有积极意义的教育机会，有助于向员工证明网络安全威胁是真实存在的，离自己的企业并不遥远，而对于员工风险行为的改变要及时予以肯定、表扬和奖励。员工通常在获得奖励后会比较开心，得到安全团队和管理层的肯定会更加积极参与安全。这套激励计划应包含短期及时激励和长期重奖激励，在申请年度安全预算中就考虑相关费用。

四、人性化利用技防措施

人是复杂的高级动物，人非圣贤，孰能无过。不得不承认，安全意识教育并不是万能的，总会有一些员工从意愿、意识和技能上存在缺口或存在侥幸心理，从而为企业安全防线埋下隐患，安全团队应合理地、人性化地利用必要的安全技术手段及流程保障措施，尽可能地将“人为错误”降至最低。例如，针对财务人员，对于大额付款或紧急转账，增加安全审核的环节；对于老生常谈的弱口令问题，为员工提供合适的密码管理器工具；对于企业内部系统账号太多，通过单点登录(SSO)免去重复注册、验证、记忆密码的负担；对于访问高价值的数据或从从不受信任的位置访问企业内网的行为，强制启用多因素身份验证(MFA)机制等等。

五、安全意识培训游戏化

尽管安全意识培训覆盖率和完成率看似可以轻松达到100%，实际上，绝大多数企业员工宁可刷1小时视频进行娱乐，也不愿意花5分钟参加强制性的安全意识培训。然而，依然有很多公司还是继续把大量枯燥乏味、晦涩难懂的法律合规培训、安全意识培训模块强推给员工学习。雪上加霜的是，这些强制性的安全培训内容大多充斥着负面信息（恐惧、不确定性和怀疑），比如过度夸大不遵守安全合规的严重后果，默认员工是“最薄弱”的一环，不信任员工的安全意识与防范能力等等。基于合规遵从的安全意识培训效果往往极其有限，根本谈不上知识保留，过一个星期就忘掉了75%，更谈不上知识转移与行为内化。

网络安全意识培训不应该是一个糟糕的学习体验。近几年，越来越多的企业正在通过将“游戏化”技术和元素（如积分、徽章和排名榜等）纳入安全意识培训。安全积分可以作为员工认可与激励计划的一部分，表扬和激励员工树立正确的网络安全观，践行安全的行为习惯。例如，当软件开发人员交付无安全缺陷的代码，将网络安全尽早纳入软件开发生命周期，这样的实践做法值得鼓励，可以赋予一定数值的安全积分。反之，当开发团队发布带有安全缺陷的代码时，就会扣分。同样，普通员工可以通过保持基本的网络安全卫生习惯而获得安全积分，例如离座锁屏、不设置弱口令或不重复使用密码、传输包含个人信息的机密数据之前对其进行加密等等。让安全学习与行为变得有趣可以增强员工的学习粘性，激发求知欲探索更多培训，激励员工自觉遵守安全制度与策略，还可以显著降低培训成本与沟通成本。

总结

当前，企业网络安全文化建设远远落后于内外部安全威胁变幻莫测的步伐。越来越多的企业CEO及CISO迫切希望推动网络安全文化变革，打造强大的网络安全文化是企业安全建设走向高质量发展的必由之路。但同时，企业网络安全文化建设还有很长的一段路要走，绝非一朝一夕之功！胸有蓝图，小事做起！

文章来源：宏责科技

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：企业网络安全文化撬不动？不妨试试这五招！