文化是安全成功的催化剂。它可以显著降低网络安全风险,并提高任何组织的网络安全复原力。文化还可以大大提高网络安全功能的感知价值、相关性和声誉。
那么,安全领导者如何为网络安全发展积极的品牌和文化呢?以下是一些建议和最佳实践:
1.了解流行的文化和背景
要了解为什么劳动力在技术和安全方面以某种方式行事,了解当前的文化背景很重要。例如,任何区域文化差异、特定行业部门、基本公司结构、缺乏对安全规范的认识和知识以及相互冲突的业务优先事项,都可能对团队文化和安全行为的任何计划变化产生影响。
2.为文化发展定下正确的基调
传统上,安全功能一直被视为“不”部门。因此,安全团队的主要目标必须是将这种受规则约束、不灵活、专制地看待安全功能的功能,取代为开放、透明、积极、创造性和协作的功能。从说“不”切换到“是的,请允许我解释如何以更安全的方式做到这一点。”做出承诺,而不是威胁。
3.设定明确的目标和愿望
作为安全文化变革设计蓝图的一部分,安全领导者应该为团队试图实现的目标设定明确的愿望,并以关于文化如何强调团队的有效性以及进行变革的重要性的对话为基础。团队应该有明确的目的感;明确他们为什么在这里,他们需要做什么,以及他们需要如何行为和被感知。
4.探索新鲜的想法和创新方法
网络安全领导者必须鼓励他们的团队探索新方法和新想法;减少对惯例、协议和历史优先的约束,将组织需求置于自己个人议程之上,以建立推动商业价值的有效关系。积极战略性地思考和行动,展示安全可以支持战略、增加收入和保持盈利能力的方法。
5.专注于你的势力范围
虽然安全领导者改变组织文化的能力可能有限——当然是在短期内——但通过改变团队自己的文化并展示这种变化的好处,可以带来很多好处。首先将精力集中在个人影响力最大的地方。如果变化是有效的,这些影响就会被注意到,其他人可能会开始复制并跟随领导。
6.利用品牌原则进行文化变革
积极的文化最好通过应用强大的品牌在整个业务中进行沟通,这应该是任何文化变革战略的焦点。换句话说,像营销人员一样思考和行动:进行一些受众分析;用受众理解的语言传达安全概念;使网络安全更具相关性;使用营销信息、活动和影响者吸引用户并推广安全计划,就像推广产品或服务一样。
7.学会穿着商业鞋走路
保持商业好奇心,并询问关于企业或员工试图实现的目标的探索问题。具有成长的心态,包括积极支持和调整网络安全战略以适应商业事业。与员工和利益相关者一起规划和实施安全战略,因为这表现为咨询行为,为更多潜在的建设性和有价值的对话打开了大门。
8.磨练软技能
改变个人风格和方法(例如成为积极的倾听者,提高情商,提高透明度)可以改变员工的认知,并建立更多的信任、富有成效和合作关系。练习讲故事的艺术,简化语言并建立与观众产生共鸣的叙事,可以帮助安全团队在更情感和人性化的层面上与员工建立联系。
9.有效地证明安全更改的合理性
重要的是要记住,安全性在设计上会增加摩擦。如果不必使用访问卡进入办公室或使用登录工作站的凭据,员工确实可以更快地访问数据——但其他人也可以。虽然这听起来像是一个直截了当的论点,但很容易忘记沟通和解释的重要性。安全领导者必须确保对为什么提出任何更改有清晰简洁的解释,并让员工有机会提出问题并获得令人满意的答案。这培养了一种信任和透明的文化。
10.采用风险而不是安全的语言
风险语言可能比安全语言更相关。这是因为风险与业务有关,通常被理解为一个概念。当利益相关者准备好时,对话可以更多地转向安全语言,而不是强迫性对话。
人为因素是网络风险的最大因素,也可能是最难控制、减轻或“缓和”的。安全技术和控制绝对很重要,但最重要的是,文化是一个缺失或代表性不足的部分,安全领导者必须开始积极关注。对待员工就像他们有影响力一样,他们会的。
来源:https://www.helpnetsecurity.com/2024/08/20/cybersecurity-culture-strategies/
暂无评论内容