当组织和信息安全团队考虑网络意识培训时, 他们经常想到骗局, 网络钓鱼, 恶意软件, 以及复杂的社会工程策略. 他们很少认为意识培训是一个改变组织中流行文化的机会. 尽管投资于技术, 人员, 以及技术诀窍, 扩大预算以支持不断增长的信息安全运营成本, 组织仍然是日常网络攻击的受害者.
组织内部的网络安全环境是否存在被忽视的方面? 功能失调的组织文化, 隐藏在复杂的技术和全面的安全控制之下, 破坏组织内部善意的网络安全计划? 考虑一些示例场景来找出答案:
权力距离
一个组织的系统会在最忙的时候停止工作, 备用系统无法启动. 年度灾难恢复演习揭示了这一点, 在上级的压力下, 这个队陷入了伪造结果的习惯. 该组织显然具有较低的权力距离指数.
权力距离指数可以用来衡量下级员工对上级的尊重程度. 文化, 无论是组织还是国籍, 在权力距离较低的情况下,人们更有可能质疑上级并指出自己的错误,从而表现出更高的个性.
支持
一个组织在一名员工被网络钓鱼后就遭受了数据泄露. 多因素认证(MFA), 是什么阻止了事故的发生, 已经被推迟了两年多,因为运营总监觉得在组织中推出MFA意味着他们人手不足的帮助台需要更多的支持票. 一项客观的审查将证实这种担忧是合理的. 了解计划可能的下游影响,并在一开始就解决它们,可以防止由于缺乏支持而导致项目拖延很长时间的情况.
规避风险的文化
一个组织发现自己处于大规模数据泄露的中心,因为一个厌恶风险的经理, 多年来, 拒绝升级安装在旧系统上的报表服务器,因为担心改变现状. 高级IT经理应该具备软技能来推销升级需求,并为可能的升级做好准备, 暂时的中断. 应该评估IT经理承担计算风险的能力,以实现对组织更重要的事情.
惩罚的错误
一个组织在犯了没有给第三方软件打补丁的重大错误后,遭遇了勒索软件事件, 尽管软件供应商已经发布了重要的安全补丁. 为什么不情愿? 网络安全经理, 谁赢得了高级管理层的支持,并在以前的供应商补丁上做了大量的测试, 当补丁导致轻微停机时,公开失去了支持. 最终,该组织为几位高管的目光短浅付出了代价.
不是我的工作
在小公司里,每个人都身兼数职. 当具体的工作职责没有写进工作描述时,问题就出现了.
一名住院员工的电子邮件账户遭到入侵. 然后, 因为在过去有很多人承担了电子邮件管理员的角色, 是否应为该雇员没有启用MFA这一事实负责, 按照组织政策的要求? 在一个团队中,戴着多重帽子的职责线应该明确谁负责执行组织的政策和控制.
过时的审计方法
传统的、内部的和外部的IT安全审计常常使组织失败 因为他们倾向于关注过程, 技术和控制,而对人员和组织文化的重视不够. 除了传统的审计外,审核员还应该开发定性和定量的文化评估技术,以提供给组织. 中小型组织通常没有资源来投资文化评估所需的技术. 由审计服务派生并提供的通用文化评分, 特别是可以与类似行业中类似规模的类似组织进行比较的分数, 是否能为四面受敌的信息安全官员提供又一件武器.
领先一步
有多少人在自己的组织中看到过这些破坏性的文化因素? 组织领导者可以通过认识到致命的组织网络安全罪,并使用有效的意识计划来削弱主流文化的破坏性方面,从而在破坏网络安全文化方面领先一步. 技术在保护组织安全方面发挥着越来越重要的作用, 但比技术更重要的是组成一个组织的各个群体中的主流文化. 基于定性或定量技术评估组织文化的管理和领导, 要么使用文化的通用属性,要么开发特定于组织的定制评估,并使用有针对性的意识计划, 保护系统和数据的下一个合乎逻辑的步骤应该是什么.
编者按: 想要进一步了解这个话题,请阅读Ranjit Bhaskar最近在《澳门赌场官方软件》上发表的文章, “通过研究提高网络安全意识,” ISACA杂志,第三卷,2022年.
ISACA杂志 今年满50岁! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 偏好中心 选择加入!
