SAP等三家公司CISOs揭秘企业网络安全文化建设之道

Information Week杂志近期访谈了来自三家不同企业的安全领导者，揭秘了他们在企业内部建立“安全第一(Security-First)”文化的优秀实践做法，并揭示了不同企业的网络安全文化究竟是什么模样。

网络安全不应仅仅存在于安全团队或只是一小部分人关心的事儿，因为网络安全涉及到企业的每一个环节和每一位员工。例如，企业发生了网络攻击或数据泄漏事件，有可能是高级管理层和财务部门对网络安全的战略理解和支持力度不够，消减了年度安全预算；或是采购部门一味地以“低价中标”选择了不合适的供应商，导致采购了劣质的安全产品或服务；或是研发部门赶工期，急于上线业务应用系统，导致软件漏洞未及时修复而被利用；或是客户服务部门在服务过程中访问和存储数据不当，造成客户个人信息泄漏；亦或是人力资源部门在招聘过程中忽视人员安全问题，走过场式背景调查导致别有用心的人员混进公司，造成公司机密信息泄漏。因此，“人为因素”安全风险管理至关重要。

一家组织的网络安全出了问题，一定是组织的网络安全文化出了问题。所有“人为因素”引发或导致的安全问题，其根源是安全文化，从文化层寻求变革才能彻底解决问题。良好的安全文化可以成就业务，使公司基业长青，而不良的安全文化则会让企业走向衰亡（因网络攻击或勒索软件造成企业关门大吉的案例时有发生）。安全文化的重要性毋庸置疑，但并不是每家企业都知道如何有效地发挥安全文化的价值。

识别障碍与挑战

根据欧洲网络与信息安全局(ENISA)给出的定义，“网络安全文化”是指组织全体成员对于网络安全所共同持有的知识、信念、认知、态度、假设、规范和价值观的集合，以及对待网络安全所展现出的行为方式。安全文化建设是一项复杂的系统工程，没那么容易塑造和维护。想要在组织内将网络安全确立为核心价值观，网络安全领导者面临的最大障碍与挑战是什么？

首先，企业有很多优先事项，例如：增加业务收入、开发与营销产品/服务、支持客户和员工，当然还有网络安全。虽然每一个优先事项在维持业务增长方面都分别发挥着重要作用，但它们在人力、时间和预算方面不可避免地会存在相互竞争。“你如何让企业将网络安全与增加EBITDA(一项财务指标，用于衡量公司在扣除利息、税项、折旧及摊销之前的利润)或努力实现收入最大化放到同等重要的位置？”，身份管理和治理公司 Ping Identity首席信息官John Cannava这样问道。

这是一个很难回答的问题，特别是当业务团队将安全视为绊脚石而不是业务推动力时。通常，安全技术措施和制度管控会有充分的理由（如法律合规或监管要求）给业务“踩上一脚刹车”。企业治理软件公司Diligent的高级副总裁兼首席信息安全官Monica Landen表示：“一旦员工认为这是一个需要克服的障碍，他们就可能会另辟蹊径，想各种办法来绕过安全控制措施。”

网络安全责任不能仅仅扣在安全和IT团队的头上，但这些团队的领导者有义不容辞的责任，向组织中的每个人清晰地展示网络安全的价值和网络安全人人有责的重要性。欧洲最大的企业应用软件公司SAP首席安全官Sebastian Lange表示：“我们不仅需要不断调整合适的安全控制集，还需要找出在如此异质、庞大的组织环境中使安全能力规模化的最佳方式。”

建立安全大使队伍

确保安全控制措施有效落实，使安全能力规模化，并在整个组织中贯彻“安全第一”的思想，需要建立一支“安全大使”队伍。首席信息安全官和首席信息官应首当其冲地担任“安全大使”的角色，在领导层积极倡导、传播和沟通安全，影响更多安全决策者，但担任这一角色的人会因组织的规模、结构和成熟度而有所不同。在SAP公司， Sebastian Lange(首席安全官)和Marielle Ehrmann(全球安全合规与风险官)共同领导全球安全和云合规工作。

SAP公司在全球拥有超过10万名员工。SAP的每条业务线通常都有自己独特的架构，有时甚至形成了自己独特的部门文化。公司的每条业务线都有业务信息安全官，他们负责特定业务线的安全管理工作。在这种模式下，SAP正在将安全和合规策略扩展到每一个业务领域。

SAP公司还在各个企业条线识别、选拔和培养有激情的“安全大使”，这些“安全大使”可以帮助周边同事解决日常工作中遇到的安全相关问题，推广最佳安全实践，更好地促进共同安全责任意识，提醒员工将安全放在优先位置。Sebastian Lange说道：“我们在所有不同的业务领域都培养了一批“安全大使”，他们不仅具备良好的安全专业知识，同时还能与员工近距离接触，了解员工的日常工作场景、行为习惯和风险特点，获取一手的反馈信息。”

在Ping Identity公司，产品负责人在支持安全举措与倡议方面发挥着重要作用。John Cannava表示：“我们已经更理解和接纳了安全团队，并促进安全团队更好地与工程团队相互融合，这样这些团队之间的互动就不会产生很大的摩擦。工程团队提供的解决方案会将安全作为其核心价值的一部分。”

无论是谁领导安全工作，都应该让公司里的每个人都容易接触到，上至董事会和高管层，下至普通员工。Sebastian Lange表示：“确保网络安全领导者经常深入一线，走到普通员工中间与他们多交流、倾听他们的声音（而不是高高在上或甚少露面），并真正以通俗易懂的语言为整个公司设定明确的安全优先级。”

获得公司上下的一致支持

无论是谁在主导企业安全文化建设，都需要确保获得组织内每个人的理解和支持。在领导层，这意味着要让C-Level高管们和董事会全力支持安全。John Cannava警告说：“归根结底，如果你没有得到CEO的支持，CEO也没有定下提升网络安全优先级的基调，那么安全将总会被视为落后于业务优先级一步。”

有效的沟通是获得领导层认同的重要一环。安全领导者如何向董事会和其他高管解释安全不仅仅是花钱的事儿，还是一项重要的业务发展赋能因素呢？Monica Landen说道：“其实就是需要真正将技术语言、安全语言转换成商业语言，阐明安全风险将会如何影响营业收入、品牌声誉或避免合规风险。”

桌面演练是向高管们展示网络安全价值的有效方式。通过各种网络安全事件的情景演练，可以更清晰地展示安全对运营和业务结果的重要联系。Ping Identity会定期邀请多位高管亲自参与类似演练，让高管们了解差距，在实践中学习，更好地理解安全的重要性。

平时员工忙于他们的手头工作，网络安全很容易被忽视。高管们应定期与员工沟通，时常向强调安全的重要性。John Cannava表示：“我们发现，向员工解释清楚安全背后的”Why”，以及它对整个公司的业务成功或品牌声誉意味着什么，这一点非常重要”。解释清楚“Why”可以采取宣贯和教育的形式，安全领导者还应在使安全宣贯与培训更有吸引力方面下工夫，帮助员工战胜遗忘曲线。“我们还设立了不同的安全文化奖项，使安全学习成为一个轻松愉快的过程，还鼓励员工参与CTF比赛，促进良性竞争。所以，游戏化也是安全文化建设的一个重要策略。”

建立适应性更强、更具弹性的网络安全文化

企业网络安全文化建设并没有一个放之四海而皆准的标准答案。不同行业、不同企业可能需要寻求不同的方法和策略，但成功打造出“安全第一”文化的组织有一些共性。安全文化倡议需要在整个组织内具有可执行性、可度量性和可管理性，这样才能有效。使用一些既定框架和指南，例如美国国家标准与技术研究所（NIST）的网络安全框架、欧洲网络与信息安全局的网络安全文化指南、Gartner PIPE框架等，可以帮助安全领导者建立并跟踪安全文化建设的有效性。

网络威胁和安全技术在不断变化，这意味着网络安全文化必须更具弹性和适应性。如今，GenAI浪潮席卷下，AI成为一把“双刃剑”，它既能增强安全防御能力，也可能被攻击者利用，带来更严峻的安全威胁。Monica Landen表示：“作为安全从业者，我们必须保持领先一步。确保我们在组织内采用了正确的AI安全策略，这样我们的员工就不会在使用AI工具时无意中暴露敏感数据或违反隐私政策。”

为确保“安全第一”的文化与时俱进，安全领导者需要与员工保持互动沟通。了解每位员工是否都知道公司面临的网络安全风险以及他们在减轻这些风险中的重要作用？员工是否知晓安全问题的反馈渠道，以及如何报告可疑的安全事件？John Cannava建议：“当涉及到报告安全事件或可疑活动时，要降低员工参与的复杂度，提供更顺畅、快捷的渠道方便员工报告风险。”

强大的网络安全文化会将安全与企业战略和总体目标有机结合起来，并体现在员工的日常行为中。“这就像练习游泳或骑自行车一样。熟练之后，肌肉记忆使得运动技能成为一种类似本能的自然状态，”Marielle Ehrmann说道。“安全文化建设不可能一蹴而就，安全行为习惯也不是一朝一夕就能养成的。它需要长期投入，需要强有力的领导力，还需要公司上下所有员工的积极参与和配合。”

注：本文编译自Information Week专栏记者Carrie Pallardy撰写的一篇文章，为符合中文阅读习惯和便于理解，本文基于访谈内容进行了重新整理和适当改动，请以原文为准。

原文始发于微信公众号（超安全）：SAP等三家公司CISOs揭秘企业网络安全文化建设之道