為了保護數(shù)據(jù)安全企業(yè)還要上演“宮鎖心計”

-7-為了保護數(shù)據(jù)安全，企業(yè)還要上演“宮鎖心計”？為了更好地愛護數(shù)據(jù)，平安團隊需要創(chuàng)建一種個人責(zé)任文化，而不是責(zé)怪和恐嚇。以下是兩位平安主管的做法。

平安團隊無法愛護他們看不到的東西。雖然監(jiān)控工具做得越來越好，但是最終用戶和業(yè)務(wù)經(jīng)理需要告知IT和平安團隊他們在不同應(yīng)用程序上所使用的數(shù)據(jù)，尤其是在消失問題時。

平安方面中的責(zé)怪和恐嚇等企業(yè)文化意味著最終用戶不會告知你他們是否使用了未經(jīng)批準(zhǔn)的應(yīng)用程序，點擊了惡意鏈接或看到了特別活動。直到問題消失之時已經(jīng)為時已晚。平安團隊?wèi)?yīng)當(dāng)建立一種用戶個人責(zé)任文化，以便他們能夠像對待健康和平安等企業(yè)政策一樣對待數(shù)據(jù)平安。

1

責(zé)怪文化只會讓平安性越來越差

將人視為一個薄弱環(huán)節(jié)，并制造一種員工擔(dān)憂因平安故障而遭到報復(fù)的環(huán)境，這不是經(jīng)營企業(yè)的好方法。然而，一些企業(yè)往往會實行一些極端措施來懲處騙局的受害者。一家蘇格蘭媒體公司在遭受網(wǎng)絡(luò)釣魚騙局后解雇并起訴了一名員工，緣由是騙子冒充該公司總經(jīng)理從這名員工手中騙走了約20萬英鎊（25萬美元）。BrianKrebs最近公布了多起員工因未通過模擬網(wǎng)絡(luò)釣魚測試而遭到解雇的案例。

這種責(zé)怪文化只會讓員工在消失問題時不敢站出來從而使數(shù)據(jù)面臨風(fēng)險。"這些處理信息的人不能成為薄弱環(huán)節(jié)，'畢馬威英國首席信息平安官MarkParr說。"我盼望讓員工感到平易近人，假如他們犯了錯誤，他們能夠告知我。這一切都是為了建立信任，讓我的同事們覺得我實際上是在支持他們而不是在事情出錯后就要懲罰他們。'

為了關(guān)心建立平安團隊與員工之間的信任，畢馬威啟動了一項方案，旨在表揚那些在企業(yè)內(nèi)部發(fā)覺了平安問題的員工。Parr稱："我盼望進展這種文化，讓人們樂于告知我，或者是在發(fā)生問題或事情后，他們能夠向服務(wù)臺報告。我們有一個內(nèi)部系統(tǒng)，我們會表揚員工，其他員工也都可以看到。假如有人來找我說我留意到了這個問題，那么我會讓他們的直接主管知道是這個人主動站出來報告了問題。'

英國電子商務(wù)零售商TheHutGroup（THG）全球平安運營主管GraemePark警告稱，無論員工是使用BYOD（自帶設(shè)備），還是從工作計算機訪問個人電子郵件，亦或是通過個人計算機訪問工作郵件，還是出于商業(yè)目的使用個人SaaS（軟件即服務(wù)）賬戶，鑒于業(yè)務(wù)與個人系統(tǒng)、應(yīng)用程序與設(shè)備之間的關(guān)系，糟糕的個人平安是企業(yè)遭到攻擊的一個因素。企業(yè)可以將掌握與培訓(xùn)相結(jié)合，而不需要實行恐嚇的手段。Park稱："這是一個重新培訓(xùn)的問題，目的是讓平安部門變得平易近人，而不是將員工打倒讓他們永久無法翻身。'

例如，Park在網(wǎng)絡(luò)代理方面常常"小題大做'，同時記錄全部內(nèi)容，包括對用戶訪問違規(guī)網(wǎng)站的行為進行警告并應(yīng)要求用戶供應(yīng)理由，說明為什么需要使用訪問該頁面。他說："你在履行掌握權(quán)的同時應(yīng)給他們灌輸平安學(xué)問，讓他們思索并讓他們自己證明。假如員工們這樣做，那么他們會有意識地打算自己的所做所為是否正確，是否平安，是否符合規(guī)定。'

"他們也知道會在這個階段被審核，這實際上會讓他們再多考慮考慮。同時這也給予了他們更多的權(quán)力，'Park補充道。

1

優(yōu)秀平安文化應(yīng)具備的特征

假如責(zé)怪文化不好，那么優(yōu)秀的平安文化應(yīng)當(dāng)是什么樣子呢？畢馬威的Parr認(rèn)為："人們下意識地知道與日?；顒酉嚓P(guān)的風(fēng)險，并且有信念降低風(fēng)險或處理風(fēng)險。我們必需擯棄一切都很好，首席信息平安官會為我們處理好的這種想法。'

Parr和Park認(rèn)為首席信息平安官應(yīng)當(dāng)專注于在以下四個關(guān)鍵領(lǐng)域供應(yīng)強大的平安文化。

01

讓平安性變得淺顯易懂

自從Parr在一年多前擔(dān)當(dāng)首席信息平安官以來，畢馬威英國公司始終在轉(zhuǎn)變其在公司內(nèi)部的平安文化和教育方法，以確保該公司在27個辦公地點的16000名英國員工在平安意識方面都處于同一水平。Parr稱："良好的文化可讓人們對信息平安布滿自信和感到貼心，而不是覺得它們是一門科學(xué)或玄學(xué)。'

創(chuàng)建具有平安意識的文化的一個關(guān)鍵方面是讓受眾喜聞樂見，為此畢馬威的平安教育內(nèi)容盡可能以簡潔易懂的語言編寫，并且適用于員工。Parr稱："我盼望員工在家中對信息平安的看法與他們在工作中的看法全都。通過設(shè)定現(xiàn)實生活場景，為員工指出明確的方向特別關(guān)鍵。'

"無論是關(guān)心客戶進入我們的客戶演示套件的前臺工作人員，還是正在進行審計的人員，或者是關(guān)心客戶解決技術(shù)問題的技術(shù)團隊人員，只要語言是一樣的，那么就都可以聽懂。'

這些基礎(chǔ)學(xué)問會讓最終用戶更簡單理解，反過來也意味著他們會更加仔細地對待企業(yè)信息的平安性，由于他們可以想象出錯的后果。Parr說："對我來說，勝利的關(guān)鍵是責(zé)任。假如員工認(rèn)為他們理解了為什么自己對這些數(shù)據(jù)的處理和管理負(fù)有責(zé)任，那么我就做對了。'

02

供應(yīng)持續(xù)的意識培訓(xùn)

作為這種文化變革的一部分，畢馬威已經(jīng)從演示、評估進行到了Parr所稱的"持續(xù)不斷地灌輸意識'階段，即通過活動、培訓(xùn)、視頻和播客培育意識。"觀看幻燈片、盡可能快地點擊、最終回答20個問題并盼望你及格，然而這些并沒有真正向我展現(xiàn)任何東西，只表示你能夠記住幻燈片中的一些信息。我想要的是讓人們了解一些規(guī)章和指導(dǎo)，知道自己可以做什么和不能做什么，以及自己的角色。'

Parr稱："首先要使用特別簡潔的語言、易于閱讀的政策文件，將這些文件壓縮成像篇幅不大的新聞熱點一樣，以吸引人們抽時間閱讀它們。然后再配上三分鐘時長的小視頻，便利人們乘車上班途中觀看這些視頻。這樣做的目的是為了保持意識灌輸活動持續(xù)不斷，讓員工始終處于被提示中。'

雖然對文化進行測評特別困難，但是Parr還與公司的學(xué)習(xí)和開發(fā)團隊合作，圍繞公司有多少員工正在收聽播客、觀看視頻以及與團隊正在制作的其他平安內(nèi)容進行互動等狀況制定了參加度指標(biāo)。這樣有助于獲得培訓(xùn)材料是否與工作人員產(chǎn)生共鳴的指標(biāo)。

他補充道，"我還需要不斷考慮與員工進行互動的新方法，不僅要在平安性方面提示他們，還要讓他們更多地參加到我正在嘗試的事情當(dāng)中。'

為了提升員工學(xué)習(xí)的樂觀性，公司高層會定期鼓舞員工觀看、閱讀和收聽這些平安材料。業(yè)務(wù)信息平安官們要作為信息平安主題專家深化到業(yè)務(wù)領(lǐng)域，鼓舞員工更直接地參加其中。

03

與使用影子IT的員工合作

以平安為由解雇員工，從而制止員工使用未經(jīng)批準(zhǔn)的應(yīng)用程序（稱為影子IT）是不明智的。Park認(rèn)為"影子IT長期以來始終是一個問題，其背后的推動因素實際上是IT系統(tǒng)無處不在，無論是軟件還是硬件，無論是在家里還是其他地方。'

Park稱："這些人并不壞，他們也并沒有試圖利用影子IT有意規(guī)避公司政策或公司平安策略。通常狀況下，他們只是想更好更快更簡單地完成工作。這是IT和平安部門的失敗，我們可以從阻擋者變?yōu)橥苿诱撸_保員工們擁有完成工作所需的工具。'

Park表示影子IT的范圍涉及SaaS服務(wù)、未經(jīng)批準(zhǔn)的桌面應(yīng)用程序以及一些"規(guī)模很小但是影響力很大的東西'，如與Slack或JIRA、掃瞄器擴展、甚至是與企業(yè)網(wǎng)絡(luò)上類似亞馬遜Alexa等設(shè)備的整合。無論影子IT實行何種形式，IT和平安都應(yīng)以更加開放的態(tài)度接受它們。假如因擔(dān)憂違反公司政策而遭處處罰，那么將導(dǎo)致用戶永久都不會告知IT部門他們在做什么。

Park稱："在這一點上，我們要更加聰慧敏捷。無論怎么說這些事情都在切切實實地發(fā)生。假如使用這些外部工具的風(fēng)險有限假設(shè)有人想要在工作中使用某款設(shè)計工具，而這些工作又不涉秘那么這種狀況的風(fēng)險可能有限。你需要能夠為人們供應(yīng)肯定程度的敏捷性。'

04

樂觀展現(xiàn)優(yōu)秀平安文化

轉(zhuǎn)變企業(yè)內(nèi)部的平安文化也意味著轉(zhuǎn)變平安團隊的思維方式。員工們盼望首席平安官成為一名優(yōu)秀的溝通者和領(lǐng)導(dǎo)者，和首席平安官一樣，平安團隊也要追求這種效果。

Park稱："過去十年來，平安團隊在平易近人方面做得并不是很好。我們很少用簡潔的語言進行表述，我們也沒有在闡明真正的基本技術(shù)問題的基礎(chǔ)上闡明風(fēng)險。'

Park認(rèn)為，平安需要以類似健康和平安警告的方式傳達信息。"向人們解釋為什么不應(yīng)在沒有個人防護裝備（PPE）的狀況下進行攀巖，由于這種后果是顯而易見的。但是向人們解釋為什么他們在使用SharePoint時不能使用Dropbox卻特別困難，由于它們的后果并不像在沒防護的狀況下攀巖的后果那么明顯。'

"我們需要真正的參加和教育，從而確保員工了解他們正在做什么，知道假如自己失去了某些文件或?qū)W問產(chǎn)權(quán)會發(fā)生什么。將問題框在每個人應(yīng)擔(dān)當(dāng)?shù)呢?zé)任當(dāng)中具有巨大價值，'Park說。

Parr也始終與平安團隊合作，嘗試著轉(zhuǎn)變他們的思維方式，讓他們成為自己向公司其他部門灌輸平安文化的大使和擁護者。他說："這些人正在展現(xiàn)優(yōu)秀的平安文化應(yīng)當(dāng)是什么樣子，同時也讓他們的同事不斷看到這些優(yōu)秀的平安文化。很長一段時間以來，信息平安被視為一種商業(yè)行為，這扼殺了很多好的想法?，F(xiàn)