在這個數(shù)字化快速發(fā)展的時代，網(wǎng)絡安全系統(tǒng)中最薄弱的環(huán)節(jié)就是人。如果沒有良好的網(wǎng)絡安全文化，安全建設工作就難以向前邁進一步。網(wǎng)絡安全文化存在于每個員工的內心，是引導和規(guī)范其網(wǎng)絡行為的“心鏡”，人們通過將自己的行為與之相比較，來判斷自己的行為是否應該發(fā)生。

　　對于現(xiàn)代企業(yè)組織而言，打造健康、先進的網(wǎng)絡安全文化具有重大的現(xiàn)實意義和作用，不僅可以使網(wǎng)絡應用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護網(wǎng)絡安全環(huán)境的重要性，以及自己在保護企業(yè)和個人網(wǎng)絡安全方面的責任與角色。

　　構建網(wǎng)絡安全文化的挑戰(zhàn)

　　Forrester Research首席分析師Jinan Budge將網(wǎng)絡安全文化定義為一種可信任的工作環(huán)境：每個人能夠理解企業(yè)網(wǎng)絡安全的重要性，并把自己看成是維護網(wǎng)絡安全的一分子；每個人都為能夠幫助網(wǎng)絡安全工作開展感到興奮，并希望企業(yè)的網(wǎng)絡安全防護工作做得更好。

　　培養(yǎng)網(wǎng)絡安全文化可以確保員工了解公司數(shù)字化發(fā)展中的風險是什么，以及可能的風險有哪些，從而正確應對或報告這類風險。而且，這種安全文化有助于企業(yè)建立更堅固的防線來抵御網(wǎng)絡攻擊和可能的數(shù)據(jù)泄露，從而更有效地保護組織。

　　從某種意義上說，網(wǎng)絡安全文化還會直接影響公司的管理決策，特別是在需要進行預算權衡時。因為企業(yè)治理就是在決策和權衡過程中尋找最優(yōu)化的解決方案，而網(wǎng)絡安全文化將會決定整個企業(yè)未來在網(wǎng)絡安全建設方面的重視程度和優(yōu)先級。

　　雖然打造網(wǎng)絡安全文化可以降低安全風險并提升業(yè)務效率，但這條道路面臨重重挑戰(zhàn)。

　　缺乏足夠的安全預算；

　　不能得到公司管理層的支持；

　　對網(wǎng)絡安全的宣教不足，一些員工對接觸安全有天生的畏懼感；

　　安全團隊和業(yè)務部門在共同提升網(wǎng)絡安全意識水平時協(xié)同不足；

　　缺乏勝任安全管理工作的CISO。

　　打造網(wǎng)絡安全文化的最佳實踐

　　打造健康的網(wǎng)絡安全文化既是一個戰(zhàn)術問題，也是一個戰(zhàn)略問題。在這個過程需要闡明目標，并弄清楚如何實現(xiàn)目標。它需要交流溝通技能，采取善解人意的做法，確保網(wǎng)絡安全與所有員工的利益密切相關，確保安全文化與更廣泛的組織文化相一致，這些都是確保成功實施網(wǎng)絡安全文化的。

　　以下總結了五個最佳實踐經(jīng)驗，可以幫助企業(yè)組織更好地開展網(wǎng)絡安全工作，打造健康的網(wǎng)絡安全文化。

　　01 制定明確的目標

　　創(chuàng)建網(wǎng)絡安全文化的第一步是定義基本指標，并確保企業(yè)中每個與網(wǎng)絡安全相關者都知道該計劃。該計劃應該詳細說明當網(wǎng)絡安全事件發(fā)生時必須采取的步驟。制定計劃可以大大減少網(wǎng)絡安全事件對業(yè)務造成的損害，并可以減輕由此造成的損失。

　　02 從高層開始推動

　　組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業(yè)人員應了解公司整體業(yè)務戰(zhàn)略，識別出與該戰(zhàn)略相關的風險，并用業(yè)務部門能夠理解的術語傳達這些風險。一旦組織的高管們了解風險是什么、要求是什么，他們就能夠堅定支持安全部門的工作。

　　03 要以人為本

　　讓員工在工作模式上做出改變是很困難的，因為他們更專注于自己的工作。另一方面，網(wǎng)絡安全是一個不斷變化的領域，給他們學習所需的資源，并實施一些激勵措施。網(wǎng)絡安全文化建設需要了解每個利益部門的潛在風險和面臨的挑戰(zhàn)。然后在此基礎上，為每個利益相關者群體打造安全文化構建計劃。

　　04 讓安全意識培訓變得有趣有益

　　一般的安全培訓課程會讓員工覺得很無聊。如果企業(yè)想認真對待網(wǎng)絡安全文化和意識培養(yǎng)，常常需要更好的方法。其中重要的一點，就是需要直觀地向員工表明，如果發(fā)生違規(guī)行為，每一位員工都可能受到影響，或者可以向員工展示數(shù)據(jù)泄露的危害視頻。當員工親眼看到安全事件造成的嚴重后果時，會有更深刻的感觸。

　　05 持續(xù)的訓練和優(yōu)化

　　網(wǎng)絡犯罪分子每天都在尋找新的漏洞，企業(yè)也應該如此。應該不斷讓員工了解各類網(wǎng)絡安全漏洞以及在日常辦公最容易造成網(wǎng)絡安全風險的舉動。從而反復進行學習及練習。同時，改變企業(yè)網(wǎng)絡安全文化可能需要五年或者更長時間，但CISO的平均任期只有兩年多一點。因此，組織應確保內部有繼任者可以繼續(xù)推動這項工作，以實現(xiàn)網(wǎng)絡安全文化氛圍的真正變革。

更多信息可以來這里獲取==>>電子技術應用-AET<<