关注公众号网络研究观获取更多内容。
文化是安全成功的催化剂。它可以显著降低网络安全风险,提高任何组织的网络安全弹性。文化还可以大大提高网络安全功能的感知价值、相关性和声誉。
那么,安全领导者如何才能打造积极的网络安全品牌和文化呢?
下面列出了一些建议和最佳实践:
1. 了解主流文化和背景
要了解员工为何在技术和安全方面采取某种行为,了解当前的文化背景非常重要。例如,任何区域文化差异、特定行业部门、基本公司结构、缺乏安全规范意识和知识以及业务重点冲突,都可能对团队文化和安全行为的任何计划变更产生影响。
2. 为文化发展奠定正确基调
传统上,安全部门被视为“不”部门。因此,安全团队的主要目标必须是将安全部门这种受规则约束、僵化、专制的观念转变为开放、透明、积极、富有创意和协作的观念。从说“不”转变为“是的,请允许我解释如何以更安全的方式做到这一点”。做出承诺,而不是威胁。
3. 设定明确的目标和愿望
作为安全文化变革设计蓝图的一部分,安全领导者应明确团队要实现的目标,并以文化如何强调团队的效率以及变革的重要性为基础。团队应有明确的目标感;明确他们为什么在这里,他们需要做什么,他们需要如何表现和被别人看待。
4. 探索新想法和创新方法
网络安全领导者必须鼓励其团队探索新方法和新想法;不受惯例、协议和历史先例的束缚,将组织需求置于个人议程之上,以建立有效的关系来推动业务价值。积极而有策略地思考和行动,展示安全如何支持战略、增加收入并保持盈利能力。
5. 关注你的影响范围
虽然安全主管改变组织文化的能力可能有限(当然在短期内),但通过改变团队自身的文化并展示这种改变的好处,可以获得很多好处。首先将精力集中在个人影响力最大的领域。如果改变有效,人们就会注意到这些影响,其他人可能会开始复制和效仿。
6. 利用品牌原则实现文化变革
积极的文化最好通过强势品牌在整个企业中传播,这应该是任何文化变革战略的重点。换句话说,要像营销人员一样思考和行动:进行一些受众分析;用受众理解的语言传达安全概念;让网络安全更具相关性;吸引用户,并通过营销信息、活动和影响者推广安全计划,就像推广产品或服务一样。
7. 学会站在企业的立场思考
对业务保持好奇心,并就业务或员工想要实现的目标提出探索性问题。要有成长心态,包括积极支持网络安全战略并使其与业务目标保持一致。与员工和利益相关者共同规划和实施安全战略,因为这体现为协商行为,为更具建设性和价值的对话打开大门。
8. 磨练软技能
改变个人风格和方法(例如成为积极的倾听者、提高情商、更加透明)可以改变员工的看法,建立更加信任、富有成效和合作的关系。练习讲故事的艺术、简化语言和构建与观众产生共鸣的叙述可以帮助安全团队在更感性和人性化的层面上与员工建立联系。
9. 有效证明安全变革的合理性
重要的是要记住,安全设计本身就增加了摩擦。如果无需使用门禁卡进入办公室或使用凭证登录工作站,员工确实可以更快地访问数据 - 但其他人也可以。虽然这听起来像一个简单的论点,但很容易忘记沟通和解释的重要性。安全主管必须确保对提出任何变更的原因有清晰而简洁的解释,并确保员工有机会提出问题并得到满意的答复。这培养了一种信任和透明的文化。
10. 采用风险语言而非安全语言
风险语言比安全语言更容易理解。这是因为风险与业务有关,通常被理解为一个概念。当利益相关者准备好时,对话可以更多地转向安全语言,而不是被迫对话。
人为因素是网络风险的最大因素,也可能是最难控制、缓解或“驯服”的因素。安全技术和控制无疑很重要,但最重要的是文化,这是安全领导者必须开始积极关注的一个缺失或代表性不足的部分。对待员工就像对待有影响力的人一样,他们就会这样做。