? ?隨著網(wǎng)絡(luò)安全威脅形勢的惡化，以及全球范圍越來越嚴(yán)苛的網(wǎng)絡(luò)安全監(jiān)管環(huán)境，相信沒有哪家企業(yè)敢說 “我們不需要網(wǎng)絡(luò)安全!”。防范企業(yè)安全看起來是一項“技術(shù)活”，但安全攻防的本質(zhì)是“人”的對抗。同缺乏交通安全意識是交通事故頻發(fā)的重要原因一樣，網(wǎng)絡(luò)安全意識淡薄是網(wǎng)絡(luò)安全事件頻發(fā)的關(guān)鍵因素。不在員工安全意識、企業(yè)網(wǎng)絡(luò)安全文化建設(shè)方面投入，不為全員賦能優(yōu)先考慮“安全性”的企業(yè)，將無可避免地淪為網(wǎng)絡(luò)罪犯任意宰割的“羔羊”!

你需要安全意識官嗎?

? ?歐洲網(wǎng)絡(luò)與信息安全局(ENISA)對“網(wǎng)絡(luò)安全文化“的定義是指人們對網(wǎng)絡(luò)安全所持有的知識、信念、認(rèn)知、態(tài)度、假設(shè)、規(guī)范和價值觀的總和，以及對待網(wǎng)絡(luò)安全所展現(xiàn)出的行為方式。講企業(yè)網(wǎng)絡(luò)安全文化就是要將安全考量作為每一名員工工作、習(xí)慣和行為不可或缺的有機(jī)組成部分，將網(wǎng)絡(luò)安全潛移默化地嵌入到日常的一切網(wǎng)絡(luò)行為中。

國外一些企業(yè)已經(jīng)為 “安全意識”、“安全文化” 相關(guān)工作設(shè)置了專門崗位，職位名稱如： “Cyber\Security Awareness Expert\Advocate\Lead\ProgramManager、Specialist \Consultant”\"SecurityInfluence & Culture Manager"\"SecurityCommunications Manager", 甚至設(shè)有 "SecurityAwareness Officer (SAO)" 一職。

? ?聽上去高大上，但當(dāng)安全意識官可不是件輕松的活，很具有挑戰(zhàn)性。這個崗位全面負(fù)責(zé)企業(yè)的安全意識與教育計劃，通過確保企業(yè)內(nèi)部所有員工、外部相關(guān)第三方了解、理解并遵守組織的安全要求，以安全的方式行事，從而降低組織的安全風(fēng)險。

? ?目前，安全意識官還是一個嶄新的職業(yè)，也是令人心動的領(lǐng)域，未來仍有待開發(fā)探索，但這一角色在企業(yè)安全管理中具有戰(zhàn)略性意義，他/她對組織的整體安全、風(fēng)險管理、企業(yè)安全文化等方面將帶來積極的重大影響。

打造“網(wǎng)絡(luò)安全第一的”企業(yè)文化

? ?“9·11”事件之后，紐約大都會運輸署 (MTA) 曾打出了一條標(biāo)語：“這個城市有1600萬雙眼睛，我們就指望所有這些眼睛!”，旨在讓市民意識到每一個人在城市遭受另一次恐怖襲擊時都處于第一線，讓每位市民都意識到他們在保護(hù)城市和自身安全方面發(fā)揮著重要作用。

? ?企業(yè)網(wǎng)絡(luò)安全文化建設(shè)可以做同樣的事情，需要 “All in”，全員參與，發(fā)揮 “人是網(wǎng)絡(luò)安全的第一道防線”的重要作用!在頂層設(shè)計上，將網(wǎng)絡(luò)安全融入到公司使命與愿景中，將安全基因注入現(xiàn)有企業(yè)文化，清楚地表明安全性是不可協(xié)商的、不可妥協(xié)的。在企業(yè)里從上至下每一名員工都應(yīng)該意識到：“網(wǎng)絡(luò)安全，我們責(zé)無旁貸!我們每一個人將安全融入到實際崗位工作的每一件事情之中，我們的企業(yè)就會更安全!”

? ?塑造組織級的網(wǎng)絡(luò)安全文化，甚至是一個部門的安全文化，都不是件易事?？偟膩碚f，人們不喜歡變化，而變革需要時間，需要精心培養(yǎng)和打造，長期持續(xù)的投入、創(chuàng)新、改進(jìn)和優(yōu)化。

構(gòu)建網(wǎng)絡(luò)安全文化需注意三大問題

? ?1.對于企業(yè)安全文化而言，最危險的情況莫過于理念與行為的背離。要想要在具體實踐中做好“以人為本”的企業(yè)網(wǎng)絡(luò)安全文化建設(shè)，各級管理者需要以身作則，推動安全行為由上至下的改變，公開推廣安全文化對組織、個人和客戶的價值與重要性。

? ?2.需要打破生產(chǎn)力和網(wǎng)絡(luò)安全之間矛盾的困境。IT安全團(tuán)隊關(guān)注的似乎永遠(yuǎn)是：安全性、安全性、還是安全性!而其它團(tuán)隊在實際工作中往往更關(guān)注的是：效率、生產(chǎn)力、便利性! 對IT安全部門有負(fù)面看法，認(rèn)為是一個 “Say No” 的部門，這種矛盾和否定性是建立和維持網(wǎng)絡(luò)安全文化的主要障礙。

? ?3. 打造企業(yè)網(wǎng)絡(luò)安全文化需要內(nèi)部各部門的積極配合，需要做大量的內(nèi)部傳播、營銷、公共關(guān)系工作，這不是僅憑安全部門就可以實現(xiàn)的，創(chuàng)建一支多學(xué)科團(tuán)隊涵蓋這些關(guān)鍵技能是必須的。

? ?目前階段，國內(nèi)企業(yè)真正關(guān)注網(wǎng)絡(luò)安全文化建設(shè)還不是普遍現(xiàn)象。在強(qiáng)有力的“網(wǎng)絡(luò)安全文化”影響下建立自覺的、安全的行為習(xí)慣，就能成功地從“最薄弱一環(huán)”轉(zhuǎn)變?yōu)榉烙W(wǎng)絡(luò)攻擊的“最強(qiáng)大資產(chǎn)”，再結(jié)合各種技術(shù)手段與風(fēng)險管理策略，企業(yè)才能真正增強(qiáng)網(wǎng)絡(luò)安全信心，在網(wǎng)絡(luò)風(fēng)險防范中取得最大優(yōu)勢!來源互聯(lián)網(wǎng)安全大會

如何提升員工信息安全意識觀念四部曲