诸子笔会 | 赵锐:网络安全意识教育的业务价值

以下内容转自微信公众号 安在

网络安全意识教育的业务价值

为帮助公众更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能,保障用户合法权益,共同维护国家网络安全。2014年11月,中央网络安全和信息化领导小组办公室(中央网信办)牵头主办了首届国家网络安全宣传周,从此开始每年都会举办国家层面的网络安全宣传周。

近几年,越来越多的组织也开始举办自己的“网络安全宣传周”或“网络安全宣传日”,希望通过更丰富的表现形式来开展网络安全意识教育,提升员工、客户、第三方的安全风险意识和防护技能,减少网络安全问题对业务、对客户服务、对内外合作的影响。

在安全团队的年度网络安全规划中,肯定会有网络安全意识教育这一模块,其任务是传授知识并让受训人员建立网络安全意识。具有风险意识的人员,在出现相应事件或出现相应情况的时候采取预期的行动,尽可能减少事件或情况对组织和个人的不利影响,降低安全事件的风险来实现业务目标。有了网络安全意识,每位员工在其岗位上做出微小的努力都可能会对业务带来显著的效果。

只有在组织高级管理层的支持下,网络安全意识教育活动才能获得最大的动力并具备必要的影响力。例如:首席执行官宣布有一系列网络安全研讨会,各级员工肯定会认为研讨会至关重要,一定要参加。然而,如果没有首席执行官的认可,网络安全意识教育对许多员工来说就没有那么紧迫了,参加人数和培训效果可能会大打折扣了。

网络安全意识教育面临的挑战

1.在大多数组织里,高级管理层最关注的是影响整个组织业务的决策和相关业务条线的绩效,对网络安全的重视程度很可能不高,那网络安全意识教育就更不会被重视了。

2.在员工和利益相关者眼中网络安全意识教育本来就不是重要的,当高级管理层没有明确并长期支持的情况下,安全意识教育工作很容易原地踏步。

3.传统的网络安全意识教育指标(例如:培训完成率、受众人数、考试成绩、考试通过率等)对于衡量员工参与网络安全意识教育很有用。然而,这些指标对于高级管理层或利益相关者来说,无法证明组织对安全意识的投资,可以减少组织面临的人为网络安全风险。

4.长期以来,网络安全意识教育一直被视为难出绩效的安全基础工作,如果不是法律法规里有要求定期开展安全意识活动,相信很多组织都会忽略它。

在人力资源之外让业务团队参与推动网络安全意识教育

大家可能会有疑问,培训教育是人力资源的工作职责肯定要参与,但为什么要业务团队参与?

各位安全同仁,大家要知道,网络安全意识教育除了要人力资源团队参与以外,还需要联合业务团队,由网络安全人力资源和业务团队共同领导,并得到高级管理团队的有效支持,覆盖到每位员工或每位业务参与者(包括:内部员工和第三方员工)。

我们要保护的信息都和业务相关,除了个人信息以外,其他信息都是因为业务才让这些信息有了价值。因为业务需要,才制定流程,开发维护技术系统。除了基础的网络安全意识教育,所有和业务相关的业务安全意识教育是业务团队会关心的,是可以真正体现安全意识教育效果的。

例如,下个月就是一年一度的双十一购物节了,这期间的服务可用性非常重要。当客户使用我们的线上购物、支付平台时,一切业务系统都应该可靠、稳定地工作。恶意软件会对可靠性产生不利影响,移动存储设备、钓鱼邮件都可能会传播恶意软件。这些设备和邮件无处不在,如果您的组织没有在生产环境采取有效的管控流程和相应的技术措施,组织就会增加感染恶意软件的风险,从而影响线上购物、支付平台的可靠性。将移动存储设备、邮件与其他管控流程、技术措施结合起来,让员工养成良好的习惯,可以避免这种潜在的风险。

收集业务团队的信息让安全意识教育与业务目标产生关联

收集业务团队的信息,了解业务运营环境、历史运营情况(特别是相关的事件)和利益相关者的目标以及痛点。这些信息将有助于确定与业务相关的安全意识教育的预期结果,以及利益相关者的关注点。同时,这有助于网络安全团队以一种对对方有吸引力的方式进行沟通。

在与业务团队沟通的过程中,内容简洁明了,用能引起共鸣的业务语言突出安全意识教育的内在价值、优势和效果。强调成功的安全意识教育与业务成功间会有直接关系。关键目标是确保让利益相关者明白,他们对安全意识教育的直接认可不仅有助于组织,而且使他们自己而受益(达成利益相关者的目标,帮助解决痛点)。利用积极倾听的技巧,向业务团队表明同理心,安全团队已经理解他们的痛点,并通过解决这些痛点为安全意识教育建立成功案例。

提供安全意识教育帮助业务成果提升的案例

使用组织内或同业的案例,来证明安全意识教育的成果能直接帮助实现业务目标。安全团队通常使用司法案例、监管处罚等事件来警示高级管理层和业务团队。在这个网络安全事件层出不穷的时代,很容易找到国内外的同业案例。

例如:某组织泄露了给其带来市场优势的专利数据。造成这个事件的原因是员工将公司内的数据上传至云盘,以便这位员工可以在周末的家中加班完成项目工作。这名员工并不完全了解数据的价值,也不了解如何保护数据的安全。可以创建一个关于如何识别关键数据,以及如何使用组织提供的工具(例如:加密)来保护数据的专项安全意识教育减少这方面的人为网络安全风险。

这样的案例会引起业务团队的共鸣,对于日常工作中不太了解IT技术的同事会很有用。一定要结合真实的业务场景,展示有效的安全意识教育如何有效降低风险事件的可能性,或由于提升安全意识而增加业务量的可能性。例如:保障司乘人员安全,就是某汽车品牌在同业竞争中的亮点。

将安全意识教育成果与业务成果关联证明安全意识教育的业务价值

相信各安全团队都会记录并分析安全事件,在这里应该首先选取人为原因(操作风险)造成的网络安全事件:

  • 因为配置错误造成的网络安全事件数量
  • 因为变更操作错误造成的网络安全事件数量
  • 因为数据滥用造成的网络安全事件数量
  • 因为钓鱼邮件造成的网络安全事件数量

上述这些都是会对系统可靠性、业务连续性产生影响的事件,可以比较容易地分析对业务成果造成的影响。利用阶段性的数据分析可以了解安全意识教育对上述结果指标带来的影响。除了这些以外,最重要的是要和业务团队特别是组织的高级管理层最感兴趣的业务驱动因素和业务收益关联起来。如何在业务术语中体现网络安全的价值,将网络安全和业务战略以及业务驱动因素的指标关联起来。对于大多数组织而言,典型的业务驱动因素有:收入、成本、风险和品牌声誉。

安全意识教育成果与业务成果关联示例:

这只是两个示例而已,大家可以结合所在组织的情况,梳理分析出更多的内容,证明安全意识教育的业务价值。