安全牛课堂 | 当企业没有网络安全文化时会发生什么？

提到"企业文化”大家并不陌生，我们经常看到它嵌入到企业的组织框架中，例如愿景、使命和价值观，也可以描述它对各种事物的态度，例如是否重视创新而不是传统、关注的是人还是流程、是否拥抱变化等等。

可观察的企业文化也能够侧面体现企业对待员工、供应商以及客户的方式。另外，企业文化更能够影响企业员工在自由环境中的工作方式，当疫情席卷全球的时候，这一点便得到了验证。

结合企业情况，我们将安全文化定义为影响其安全的群体的思想、习俗和社会行为。企业领导者可以使用某些标准来可视化他们当前的安全文化级别，并计划从一个级别升级到另一个级别所需的步骤。

网络安全文化不仅仅是完成培训或报告网络钓鱼电子邮件，良好的安全文化可以帮助人们在安全方面做出正确决策，下面让我们从员工的角度出发，看看拥有安全文化与没有安全文化的区别。

情况 1

邮件地址显然是假的。

收到一封包含多个语法错误、明显可疑的链接、多种字体大小、未格式化且发件人的电子邮件地址非常虚假的恶意邮件

情况 2 

在地板上找到一个 USB 设备，上面写着“工资单 2022”。

虽然对于网络安全从业人员来说，识破这些诡计非常轻易，但并不是每个人都是网络安全从业者，而这些情况正是每天都在发生的事情。

每个企业都应该拥有网络安全文化，但真正的挑战不仅在于理解它的意义，而且要科学地量化出想要完成的目标，并努力实现之。

要了解网络安全文化需要提出问题、仔细观察，并花时间记录所发现的一切信息。

首先需要了解：

• 员工是否了解如果发生违规行为对企业的影响？

• 员工是否了解网络威胁形势？

• 在任何情况下，员工离开设备时，他们会锁定设备吗？

• 员工是否遵循现有政策（互联网使用、清洁办公桌、报告事件等）？

• 员工是否了解如何应对网络钓鱼和其他社会工程？

• 员工是否一直在创建不安全的解决方法（在工作中使用个人账户或不安全的个人设备等）？

一旦对以上问题形成了准确认知，就该考虑、讨论和定义组织的安全文化应该是什么了。

其次需要了解：

• 企业是否关心安全性？

• 哪些业务领域最不注重安全？

• 哪些员工最厌恶风险？

• 我们的安全文化有多强或多弱？

• 我们需要在企业的哪个部分改善安全文化？

• 企业安全文化计划的效果如何？

解答以上问题能够为企业提供一个在整个组织中实施意识、教育和培训的起点，从而建立强大而积极的安全文化，降低企业的安全风险并提高防护弹性。