前言
国际权威研究机构Gartner近年来高度关注网络安全中的“人为因素”,发布了一系列相关的研究报告和趋势预测。例如,Gartner早在2022年便提出了安全行为与文化计划(SBCP)的理念,并创新性地推出了PIPE(实践|影响|平台|使能)框架,以指导组织更有效地促进风险行为的改变和安全文化的塑造,2023年将“以人中心的设计”列为顶级安全趋势之一,2024年则将“安全行为与文化计划(SBCP)”列为顶级趋势之一。
另据Gartner相关预测,63%的首席信息安全官(CISO)预计在未来18个月内将增加安全意识与培训预算投入(2024年初预测);到2025年,70%的企业CEO将要求建立更具弹性的“网络安全文化”;到2025年,40%的网络安全项目将采用“社会行为原则(如:助推理论)”来影响整个组织的安全文化;到2026年,至少50%的C级高管在其雇佣合同中将加入与网络安全风险相关的绩效要求。
一个不可否认的事实是:“人为因素”依然是造成大多数数据泄露的最主要因素之一。然而,长期以来,“以课程为基础、以意识为中心”的传统安全意识与培训计划显得越来越苍白无力。首席信息安全官(CISO)必须目光长远,不止于提升全员的安全意识,更要致力于改变员工的风险行为,打造符合企业自身发展特色的安全文化。
关键发现
-
传统的方法仅仅是注重于提升员工对于网络安全威胁的意识水平,而对于降低组织的网络安全风险水平实际上是无效的。
-
追求效率和便利性(认为业务需求或利益优先于安全风险)以及员工未感受和体验到自身风险行为带来的负面影响,这是员工发生不安全行为最常见的两个原因。
-
93%的员工明明知道自己的行动会给公司带来安全风险,他们依旧在工作场所做出了某些不安全的行为,这进一步表明,安全意识培训本身对员工的风险行为几乎没有明显的影响。
-
虽然培训完成率、钓鱼演练中招率等是企业试图衡量其安全意识计划有效性的最常见方式,但这些偏合规性指标无法证明安全意识工作带来的有价值结果。
行动建议
对于寻求有效降低员工风险行为,打造组织安全文化的首席信息安全官来说,建议如下:
-
从根本上革新理念,改变传统做法。促进必要的行为改变发生,仅仅依靠安全意识培训不足以解决人为因素引起的网络安全风险。
-
制定一个长期计划(多年期)来改善风险行为,因为行为改变和文化塑造是复杂的,改变并不可能一蹴而就,需要一定周期。
-
参考和充分利用Gartner PIPE (实践|影响|平台|使能)框架,促使安全意识切实落地到安全行为。
-
利用“以行为为中心、以结果为驱动的”度量指标,来证明安全行为与文化计划(SBCP)的实际价值。
PIPE框架详解
PIPE框架是专门为帮助首席信息安全官(CISO)/安全意识官(SAO)打造组织安全文化而开发的,它为CISO/SAO解决网络安全中“人的问题”提供了新的思路和视角,有助于企业将人为因素对网络安全的影响降至最低。
PIPE框架包含八大要素,如上图,其中三个核心组件是:理念实践(Practices)、影响因素(Influences)和平台支撑(Platforms),五个使能因素(Enablers)分别是:高管支持(Executive Support)、愿景感召(Engaging Vision)、专业知识(Expertise)、用心实施(Execute Mindfully),以及结果评估(Evaluate Outcomes)。
五大关键使能因素(Enablers)
CISO/SAO应确保以下五个使能因素支持到位,它们构成了整个框架的支撑结构和成功实施SBCP计划的关键基础。
原文始发于微信公众号(超安全):企业网络安全文化建设必备(2):Gartner PIPE(实践|影响|平台|使能)框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论