作为需要长期建设的网络安全战略,最重要的是需要有安全第一的心态,而这一挑战最大的除了受制于业务发展需要以及预算等问题之外,员工对安全的理解以及相关措施的使用技能或是一个巨大的挑战。
虽然企业的IT管理者必须站在构建网络安全战略的前沿,但保护企业的网络安全不应只是IT部门的一项任务,而是需要培养全公司的安全文化,这一点恐怕要取决于如CEO为代表的整个企业最高管理层,自上至下,需要所有员工对安全都有一定程度的理解和责任,这不仅是一个技术挑战,也是一个认知或者说是教育挑战。
让企业的每一个人都要有承担安全责任的意识
可以说对于任何一个企业而言,旗下每个部门都致力于自己的核心业务内容,从合同、产品规格、客户数据到账户信息等等各个类别的数据。这意味着,在这些数据的整个业务生命周期中,每个员工都将以某种方式参与到保护和安全管理该数据的过程中。
有效的安全措施源于拥有足够直观的集成工具,供员工或合作伙伴学习和使用。安全工作流意味着一条数据(如合同)永远不会离开实例,通过优秀的技术或工具,可以帮助企业对这些数据进行分类分级,这项工作有助于识别敏感信息,并鼓励员工在处理这些数据时更加谨慎。随后,协作团队可以以更高效、更安全的方式处理文档,因为不需要更广泛地共享机密文件。
心态和文化最终一定会提升并巩固企业的安全水平。通过对员工进行有可能对企业造成损害的数据泄露类型的教育,可以起到预防风险的作用。尽管很少有员工会故意做出恶意行为,但多年以来的事件分析表明,人为错误是很常见的。
通过以安全第一的心态去做一些改变,尤其是思维的转变可以让员工更积极主动的参与企业安全建设工作,比如报告他们在工作中发现的任何可能成为弱点的安全缺陷。
安全第一的理念需要嵌入整体业务计划之中
在疫情还没爆发的2018年,一份报告指43%的企业报告在过去12个月内经历过网络安全漏洞,这表明安全早在远程办公模式被广泛应用之前就是一个问题。这些普遍存在的安全漏洞可以部分归因于这样一个事实,即许多企业使用的传统安全管理工具已经过时,缺乏足够的安全、加密和治理工具。过时的工具通常是易用性较差且相对孤立的,导致相关人员不愿意去用,毫无疑问,这最终必然会产生严重的安全隐患。
简而言之,安全第一的理念来自于制定超越技术本身的一种综合战略,网络安全必须成为整体业务计划的一部分,让每个员工都了解安全在各自角色中的重要性,并能够优先考虑其安全问题,打破IT团队对安全大包大揽的传统认知。
尤为重要的是,这一点与企业的规模无关,如果不投资于安全基础设施、人员和教育,就会让自己和客户暴露在潜在网络犯罪分子的攻击面之下,或者遇到本无恶意的员工过失操作所导致的入侵。从长远来看,将安全性嵌入到其业务的各个方面的组织将取得胜利,因为它们至少能够规避那些已知的安全威胁。
对于大企业而言,财大气粗的他们也许在安全产品、解决方案上投入不菲,但如果安全未能得到全员参与,任何一个点所产生的安全缺口都有可能让企业蒙受更大的损失。而对于中小企业,尽管预算有限,在相关的安全设备、产品方面的投入可能会有不足,但提高员工在日常工作中的安全素养,至少也可以规避掉不少安全风险。