培育強(qiáng)大的網(wǎng)絡(luò)安全文化被業(yè)內(nèi)人士視為創(chuàng)建強(qiáng)大而健康的安全計(jì)劃的基本要素����,然而��,TechTarget的企業(yè)戰(zhàn)略小組和信息系統(tǒng)安全協(xié)會(huì)(ISSA)最近的研究發(fā)現(xiàn)�����,許多CISO認(rèn)為����,公司在其組織內(nèi)建立適當(dāng)?shù)木W(wǎng)絡(luò)安全文化方面還有很長的路要走。
究竟什么是網(wǎng)絡(luò)安全文化?歐洲聯(lián)盟網(wǎng)絡(luò)和信息安全局(ENISA)提供了以下定義:
“網(wǎng)絡(luò)安全文化(CSC)的概念是指人們關(guān)于網(wǎng)絡(luò)安全的知識(shí)���、信念�����、感知��、態(tài)度����、假設(shè)���、規(guī)范和價(jià)值觀���,以及它們?nèi)绾误w現(xiàn)在人們使用信息技術(shù)的行為中。CSC涵蓋了熟悉的主題����,包括網(wǎng)絡(luò)安全意識(shí)和信息安全框架,但在范圍和應(yīng)用方面都更廣泛���,致力于將信息安全考慮作為員工工作��、習(xí)慣和行為的組成部分���,并將其嵌入到他們的日常行動(dòng)中�����?����!?
換句話說���,網(wǎng)絡(luò)安全文化促進(jìn)網(wǎng)絡(luò)安全成為實(shí)現(xiàn)組織總體使命的必要組成部分。事實(shí)上��,研究顯示��,CISO認(rèn)為網(wǎng)絡(luò)安全文化與威脅預(yù)防��、檢測(cè)和響應(yīng)方面的安全最佳實(shí)踐有著不可阻擋的聯(lián)系�����。當(dāng)被問及如何從整體上改進(jìn)組織的網(wǎng)絡(luò)安全計(jì)劃時(shí)���,60%的受訪CISO表示��,他們應(yīng)該努力在整個(gè)組織內(nèi)創(chuàng)建更好的網(wǎng)絡(luò)安全文化����,而其他受訪者中這一比例為42%。
值得注意的是���,CISO還認(rèn)為����,通過讓高管和董事會(huì)更多地參與網(wǎng)絡(luò)安全決策和監(jiān)督��,增加網(wǎng)絡(luò)安全預(yù)算����,以及改善安全衛(wèi)生和態(tài)勢(shì)管理-所有這些都是強(qiáng)大的網(wǎng)絡(luò)安全文化的組成部分��,他們的網(wǎng)絡(luò)安全計(jì)劃可以得到改善��。
大多數(shù)CISO認(rèn)為需要改善網(wǎng)絡(luò)安全文化
這些數(shù)據(jù)還指向了未來的工作���。雖然超過三分之一(36%)的CISO將其組織的網(wǎng)絡(luò)安全文化評(píng)價(jià)為先進(jìn)(略高于所有其他受訪者)�����,但34%的CISO認(rèn)為其網(wǎng)絡(luò)安全文化水平為平均水平�����。令人擔(dān)憂的是�����,30%的受訪者幾乎沒有這么積極�����,他們將組織的網(wǎng)絡(luò)安全文化評(píng)為公平或糟糕����。
鑒于網(wǎng)絡(luò)安全文化的重要性,數(shù)據(jù)似乎表明首席信息官與其他企業(yè)高管之間存在脫節(jié)���。不幸的是��,這似乎是CISO的一種職業(yè)危險(xiǎn)�����。當(dāng)被問及他們是否曾在故意忽視安全最佳實(shí)踐或合規(guī)要求的組織工作時(shí)����,超過三分之二(68%)的CISO回答說他們至少為一個(gè)這樣的組織工作過,而所有其他受訪者的這一比例為57%����。
CISO希望企業(yè)高管和他們自己的團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面發(fā)揮更大的領(lǐng)導(dǎo)作用
作為調(diào)查的一部分,受訪者被要求就他們的組織如何改善他們的網(wǎng)絡(luò)安全文化提出建議�����。雖然CISO的建議通常與其他網(wǎng)絡(luò)安全專業(yè)人員相似�����,但CISO的回應(yīng)在某些領(lǐng)域很突出�����。例如��,CISO希望安全團(tuán)隊(duì)參與所有業(yè)務(wù)規(guī)劃���,以便他們可以構(gòu)建威脅模型并實(shí)施正確的控制,他們還希望業(yè)務(wù)經(jīng)理對(duì)其業(yè)務(wù)部門內(nèi)的網(wǎng)絡(luò)安全承擔(dān)更多責(zé)任��,使他們?cè)诎踩珗F(tuán)隊(duì)的支持下成為偽業(yè)務(wù)信息安全官(BISO),這可能有點(diǎn)技能限制�����,但可以肯定地說�����,CISO希望與業(yè)務(wù)經(jīng)理達(dá)成妥協(xié)���,使特定的業(yè)務(wù)流程與正確的風(fēng)險(xiǎn)緩解���、網(wǎng)絡(luò)防御和監(jiān)控監(jiān)督保持一致。
總體而言�����,CISO建議組織的其他成員��,特別是高管和董事會(huì)��,更加認(rèn)真地對(duì)待網(wǎng)絡(luò)安全�����。值得注意的是,CISO并不是簡單地將文化缺陷歸咎于他人����。事實(shí)上,40%的受訪者希望提高員工與公司董事會(huì)在指導(dǎo)這些變革方面的參與度�����。僅此一點(diǎn)就說明了CISO對(duì)其使命的獻(xiàn)身精神���。
顯然���,網(wǎng)絡(luò)安全文化有賴于企業(yè)高管的強(qiáng)有力領(lǐng)導(dǎo)。不幸的是���,數(shù)據(jù)表明���,CISO和公司董事會(huì)之間的關(guān)系是復(fù)雜的。當(dāng)被問及如何描述他們與董事會(huì)的工作關(guān)系時(shí)����,40%的CISO說一般或差——這是一種有害和危險(xiǎn)的情況�����。為了糾正這一點(diǎn),60%的CISO建議增加CISO與執(zhí)行管理層和公司董事會(huì)的參與���,包括參與所有業(yè)務(wù)規(guī)劃和戰(zhàn)略���。
企業(yè)戰(zhàn)略組織和ISSA的研究揭示了兩個(gè)相反和令人擔(dān)憂的情況:
-
信息和通信技術(shù)組織認(rèn)為,強(qiáng)大的網(wǎng)絡(luò)安全文化是一種最佳做法����,可以極大地幫助他們完成及時(shí)、有效地預(yù)防���、發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的任務(wù)���。
-
許多組織的網(wǎng)絡(luò)安全文化滯后于它應(yīng)該(和需要)的水平。
雖然CISO似乎已經(jīng)準(zhǔn)備好充當(dāng)變革推動(dòng)者���,但他們可能會(huì)在推動(dòng)這一事業(yè)方面獲得一些外部幫助���。SEC最新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理規(guī)則、紐約州金融服務(wù)部規(guī)則(23 NYCRR 500)以及歐盟即將發(fā)布的NIS2指令等新法規(guī)對(duì)企業(yè)提出了額外的網(wǎng)絡(luò)安全要求����,包括董事會(huì)/高管的責(zé)任和網(wǎng)絡(luò)安全文化要求����。
可以肯定的是�����,在持續(xù)的網(wǎng)絡(luò)威脅���、經(jīng)濟(jì)損失和這些新法規(guī)之間�����,許多企業(yè)將把改善網(wǎng)絡(luò)安全文化作為2024年及以后的優(yōu)先事項(xiàng)����。
