CISO 如何培養企業資安文化來降低風險?
想要培養良好的資安習慣,應從獲得全體員工認同開始。看看 CISO 如何培養企業資安文化來降低風險。 「再好的藥,如果人們不願服用或是讓人討厭,也沒有用。」 Anthony Fauci 醫生
資安習慣為何重要?
隨著資料外洩的成本不斷攀升,企業必須隨時維持良好的資安習慣。然而,光採取一些資安控管與程序 (例如使用防毒軟體和套用資安修補) 是不夠的。我們需要改變作法。想要避免資料外洩和資安事件發生,所有可能造成資安措施無法普及或導致資安習慣不良的行為都應該列入考量。
人員通常是防禦的第一線,遠距上班以及大量連網裝置與行動裝置連上不安全的家用網路已經使得企業的 受攻擊面因而擴大。Verizon 指出,有 82% 的資安事件都是人為錯誤所引起。此外,Reciprocity 也指出,僅有 55% 的人在家上班時會特別留意網路資安的問題。因此,即使您架設了 VPN 給遠距上班人員使用,如果員工在登入自己的信箱時根本沒有連上 VPN,那一切都是惘然。
這不僅讓企業陷入風險,而且員工也會受到影響,因為昂貴的資安事件很可能導致企業破產或倒閉,員工將因而失業。
為何要獲得全體員工的認同這麼難?
讓我們來看看一個類似的情況,那就是病患是否會按時吃藥。
在第 24 屆「國際愛滋病研討會」(International AIDS Conference) 上,演講者熱切分享如何改善治療成果並介紹一些新的研究領域,包括使用 mRNA 疫苗來協助降低該疾病的擴散。去年,全球約有 65 萬人因感染 HIV 而逝世。我們都知道該疾病有多麼致命,但阻止它擴散的最大障礙是說服患者服藥。在美國, 僅有 40% 的患者會每天按時服藥 (超過 90% 的時候會按時服藥)。另有 20% 做得「稍微差一點」 (大約 80% 至 90% 的時候)。其餘的 40% 則做得很差 (不到 80% 的時候會按時服藥)。此外,每 5 名患者就有 3 名並未遵照醫師的建議。
CISO 和資安領導人必須接受一項事實,那就是:想要員工確實遵守良好資安習慣很難。人類的天性是容易受外界影響,而且不是每個人都是資安或技術專家。健忘、疲乏以及其他結構性障礙,都會使得您的第一道防線出現破口。
5 個改善資安習慣的祕訣
企業在打造一個強而有力的網路資安框架時,必須先掃除這些障礙。例如,當提醒訊息出現的時間越接近做選擇的時間,訊息的效果就越好。想要解決疲乏的問題,那麼在設計資安控管時,就要讓「做對的事」比「做錯的事」來得容易。要了解其他的結構性障礙,我們必須研究一下是甚麼原因迫使人們做出不當選擇,然後再微調或定期更新我們的網路資安介面來引導人們做出安全的選擇。
以下是 5 個獲得全體員工認同以消除不良資安習慣的祕訣:
📌 1. 領導者帶頭示範資安日常:
千萬別只是從上而下規定該怎麼做,自己卻在 IT 不知情的狀況下,使用自己最愛的應用程式來執行機密業務。領導者有責任帶頭示範資安在日常業務當中「看起來是什麼樣子」。
📌 2. 以資安故事取代PowerPoint:
說故事是一種很有效的溝通方式,絕大多數的員工都對網路資安沒有興趣,所以可預料地,當您秀出圓餅圖時,您會發現很多人的眼神都開始呆滯。與其使用無聊的 PowerPoint,您可以引用一些最近發生的事件以及它們如何影響企業的日常營運。例如,引用一個變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)事件來說明電子郵件帳號如何被駭,以及大家的福利基金如何被偷走,這樣就能引起員工的注意。
📌 3. 鼓勵團體分享資訊並提問:
鼓勵團隊之間彼此分享資訊,設定一個信箱讓員工將看似可疑的郵件轉發到該信箱,而不是留在自己的裝置上。某些員工可能會過於膽怯或害怕在資安專家面前出糗而不敢提問。給予正向支持的溝通,對於鼓勵員工和資安團隊合作非常重要。
📌 4. 簡化資安政策,協助非技術背景的員工遵守政策:
千萬別讓複雜性成為一種障礙。想要消除障礙,可以設定系統通知來提醒員工更換複雜的密碼、更新硬體與軟體、備份敏感資料等等。可能的話,製作一些教學影片來協助非技術背景的員工遵守政策。這些影片不需要達到好萊塢的水準,只需提供一些螢幕截圖,上面標註一些重點與簡短說明即可。
📌 5. 監控資安教育訓練數據:
在資安教育訓練當中使用遊戲、競賽或快速測驗 (重點在快速) 來協助您監控哪些模組的效果不錯,並且追蹤員工的資安知識程度。此外,凡人都需要成就感,如果您的全企業網路釣魚測驗的成績不錯,那何不將這些成果跟員工分享,這樣他們會更隨時提高警覺。
下一步
資安習慣不是一項複雜的問題,但也不是簡單的工作,換句話說就是必須研究和了解深層的障礙在哪裡,然後設計能鼓勵員工做出正確選擇的解決方案。