想象一下,一会儿,在企业设置中的员工 - 让我们致电这个人凯利 - 面对一个全常见的场景:她需要向一组外部利益相关者发送紧急和重要的电子邮件,包括作为附件的内部文件。

很简单,对吗?

所有凯利都需要做的是写电子邮件,添加附件和 - 如果给予备用少数几分钟的奢侈品 - 发送前的任何拼写或语法错误。

但是,这种看似简单的过程实际上是由于数据安全和保护的视角的风险。

Kelly是否审查了电子邮件内容,以确保不披露敏感的公司或个人信息?

凯莉以同样的方式思考附件吗? Kelly还考虑了收件人,以及他们是否被授权首先收到这些信息?

如果凯利就像大多数员工,那么不幸的答案很可能没有。

但这不是凯莉的错。

凯利的组织没有投入创建和成功实施整个组织的有效IT安全和数据保护文化所需的时间,努力和成本,这部分原因是为什么在凯利的思想中,数据保护和安全是IT安全的工作。

虽然这一想法在本组织的安全文化中没有强烈的安全文化,但特别是现在每个人都在现在从家里工作 - 这是一个不太可能很快被纠正的想法。

为什么安全和数据保护文化事项

根据全球IT协会ISACA,安全的企业文化 需要 “一种行为,信仰,假设,态度和做事方式的模式。”

它有点类似于双胞胎推送许多公司建立一个 数据驱动的文化  - 仅确保获得清洁数据,数据素养和单一的真理来源,建立安全文化的公司必须更多地关注员工对安全第一心态的影响。

这主要是因为人类通常是任何安全链中最薄弱的链接,说安全之旅CEO Chris Romeo TechBeacon.。 “组织的安全文化需要护理和喂养。

他说,这不是一个有机地生长的东西。“虽然计算机和应用程序几乎始终做到他们所说的,但是,如果留给自己的设备

罗密欧补充说,可持续的安全文化有四个定义特征:

  • 这是破坏性的,促进了改变并提高了组织内的安全性。
  • 它是吸引人,有趣的,员工想要参与的东西。
  • 被要求投资时间和能量的员工是有益的。
  • 它提供了投资回报。

但在企业界中实施这种文化并不容易,特别是在具有宽松和长期的数据保护过程的组织。旧习惯,毕竟死了。

公司文化最终从顶部创造和实施,但需要从组织中的每个人那里买入 - 这些不一定直观的人在那些可能没有看到它的工作描述的一部分。

这些数字忍受了:根据isaca和 CMMI学院调查此外,只有34%的组织表明,他们的员工在本组织的整体安全姿势方面完全理解其重要作用。

确实, 根据许多安全专家,强大的安全和数据保护文化的最大障碍是熟悉的罪魁祸首 - 人性。

这适合组织中的每个人:经常,领导者认为在安全文化中投资,分散注意力,而不是有利于底线(即使是 数据泄露的成本 就声誉和美元而言,可能会更加严重。

与此同时,前线员工和中间经理通常会在日常生活中被禁止自满。

不幸的是,由于Covid-19,我们目前的(可能是长期以来)大众工作 - 从家庭倡议 - 由于无担保的个人设备,住宅WiFi网络,遗产介绍了一个更危险的安全威胁和漏洞。 VPN和其他问题 - 维护安全文化变得更具挑战性。

如何构建(并维护)安全和数据保护文化

然而,安全专家表示,对安全文化的缺乏态度正在改变必要性。 “今天的安全是每个人的工作。如果我们真的希望保护我们的客户和我们的业务,我们都必须对安全负责,“AWS CTO Werner Vogels说 安全现在.

但是做到最好的方法是什么?

在物理办公室,在走廊和其他提高意识的其他举措中的海报可以工作,但如果没有足够的话,很容易被忽视 - 从不介意这些机制已经与在第一的大多数人不相关的情况下无关紧要。

我们先前提到了多少公司已成为数据驱动,以及令人鼓舞和促进IT安全文化的一些进程并不不同。

在这两种情况下,主动权 必须有强大的冠军 在C-Suite和公司高管内,以推动所需和持久的变化 - 任何其他东西都可以快速蒸发或损失到无意义的箱式滴滴运动中。

应用网络安全研究所(IANS)的教师迈克·雷鲍(Mike Saurbaugh)提供了这些 尖端:

  • 激励个人视角:提高员工在更广泛的背景下的安全意识,例如提醒他们,保护公司安全性也将有助于保护他们的个人财务,家庭和整体福祉。
  • 游戏你的程序:您可以通过使安全和数据保护乐趣和奖励来推动员工参与,同时培养员工和部门之间的友好竞争。
  • 认识到公司内的成功:这有助于员工,群体感觉更加有价值,并使每个人都有动力,同时向整个公司提供具体证据,该公司的工作是工作的。
  • 保持简单和测量:就像建立一个数据驱动的文化一样,专注于较小,增量和更现实的目标是一个更好的攻击计划,而不是试图做太多,太快(这可以带来讨厌的员工的双重否定,最终未能见面目标,进一步提高了愤怒的习惯)。

首席信息安全官员(CISOS)也可以在建立崭露头角的安全文化方面发挥主导作用。

虽然有时候有时 努力获得尊重 由于安全威胁不断增长,因此来自他们的许多C-Suite同行, Cisos现在正在世界上推出 在一个很大的方法 - 促进基于广泛的安全文化时的主要积极态度。

数据安全自动化软件有助于维护防弹安全文化(甚至远程)

当然,在2020年,围绕公司安全文化的讨论必须始终循环回到偏远和分布式的团队问题:当这些员工不再在物理办公室时,您如何继续提醒员工的员工的安全和数据保护的重要性?

例如,通过电子邮件和公司内联网提醒,可以帮助,但很容易被忽略(特别是在家中)。

这就是为什么在这个新的工作 - 家庭时代, 数据分类和识别软件 可以通过自动化流程和提醒来帮助维护硬盘数据保护文化。

这样的 数据安全自动化软件 通过自动敏感和PII数据识别和分类,内置控制,甚至嵌入到外部利益相关者的员工,甚至是员工提醒,甚至嵌入式但重要的公司工作流程中的员工提醒,甚至是员工提醒,让每个人都诚实地。隐私屏幕截图的Titus Accelerator

Titus Accelerator for隐私 可以识别个人身份信息,使用电子邮件中的那些单词的单词和上下文,并在共享敏感数据之前警告您。

通过软件对敏感数据的数据发现和分类允许组织自动识别其所有敏感数据所在的位置,根据预定的灵敏度级别对数据进行分类,然后将适当的丰富元数据应用于每个文档(包括电子邮件和办公文档)来通知您的下游安全生态系统,包括 数据丢失预防(DLP) 和云访问安全代理(CASB)软件。

虽然所有这一切都在后台进行,但数据安全自动化软件还通过自动触发器和提醒基于所涉及的内容或利益相关者,帮助维护工作人员之间的安全意识。

实际上,就像(或者甚至比那些)那些海报和其他地区的提醒, 数据分类 and 鉴别 软件始终在那里提醒员工在合适的时间。

这意味着公司可以扩展他们的 数据保护 和安全计划到远程工作人员比以往任何时候都更容易。

它也意味着下次凯莉向外部利益相关者发送包含敏感数据的电子邮件,正确的行动过程不仅仅是显而易见的 - 它将嵌入到员工的工作流程中。

资源://titus.com/blog/data-classification/building-and-maintaining-an-it-security-culture-when-everyones-working-remotely