提到"企业文化”大家并不陌生,我们经常看到它嵌入到企业的组织框架中,例如愿景、使命和价值观,也可以描述它对各种事物的态度,例如是否重视创新而不是传统、关注的是人还是流程、是否拥抱变化等等。
可观察的企业文化也能够侧面体现企业对待员工、供应商以及客户的方式。另外,企业文化更能够影响企业员工在自由环境中的工作方式,当疫情席卷全球的时候,这一点便得到了验证。
结合企业情况,我们将安全文化定义为影响其安全的群体的思想、习俗和社会行为。企业领导者可以使用某些标准来可视化他们当前的安全文化级别,并计划从一个级别升级到另一个级别所需的步骤。
网络安全文化不仅仅是完成培训或报告网络钓鱼电子邮件,良好的安全文化可以帮助人们在安全方面做出正确决策,下面让我们从员工的角度出发,看看拥有安全文化与没有安全文化的区别。
情况 1
邮件地址显然是假的。
收到一封包含多个语法错误、明显可疑的链接、多种字体大小、未格式化且发件人的电子邮件地址非常虚假的恶意邮件
情况 2
在地板上找到一个 USB 设备,上面写着“工资单 2022”。
虽然对于网络安全从业人员来说,识破这些诡计非常轻易,但并不是每个人都是网络安全从业者,而这些情况正是每天都在发生的事情。
每个企业都应该拥有网络安全文化,但真正的挑战不仅在于理解它的意义,而且要科学地量化出想要完成的目标,并努力实现之。
要了解网络安全文化需要提出问题、仔细观察,并花时间记录所发现的一切信息。
首先需要了解:
员工是否了解如果发生违规行为对企业的影响?
员工是否了解网络威胁形势?
在任何情况下,员工离开设备时,他们会锁定设备吗?
员工是否遵循现有政策(互联网使用、清洁办公桌、报告事件等)?
员工是否了解如何应对网络钓鱼和其他社会工程?
员工是否一直在创建不安全的解决方法(在工作中使用个人账户或不安全的个人设备等)?
一旦对以上问题形成了准确认知,就该考虑、讨论和定义组织的安全文化应该是什么了。
其次需要了解:
企业是否关心安全性?
哪些业务领域最不注重安全?
哪些员工最厌恶风险?
我们的安全文化有多强或多弱?
我们需要在企业的哪个部分改善安全文化?
企业安全文化计划的效果如何?
解答以上问题能够为企业提供一个在整个组织中实施意识、教育和培训的起点,从而建立强大而积极的安全文化,降低企业的安全风险并提高防护弹性。
相关阅读

推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...