一级a性色生活片久久无,国产91在线播放,中国性猛交XXXX富婆,亚洲夜夜性夜综合久久

建立強大安全文化的四個建議

2019年07月02日

為了數據安全，安全團隊需要建立個人責任意識，而不是恐懼和互相指責。下面講述了兩位安全負責人是怎么做的。

安全團隊無法保護他們看不到的東西。當監控工具越來越好時，終端用戶和業務經理需要告訴IT和安全團隊他們在拿不同應用程序上的數據做些什么，尤其是在出現問題的時候。

當涉及到安全問題時，在恐懼和互相指責的文化下，終端用戶不會告訴你他們是否在使用未經批準的應用程序，是否點擊了惡意鏈接，或者是否看到了不尋常的活動，直到為時已晚。安全團隊應該幫助用戶建立個人責任意識，使他們能夠像對待健康和安全等其他公司政策一樣對待數據安全。

相互指責的文化加劇了安全問題

將人視為一個薄弱環節，創造一個員工害怕因安全問題而受到懲罰的環境，不是一個經營公司的好方法。然而，一些組織機構采取極端措施來懲罰詐騙受害者。蘇格蘭一家媒體公司解雇并起訴了該公司的一名員工，原因是她卷入了一場網絡釣魚事件，并向冒充該公司總經理要求其進行付款的騙子支付了近 20 萬英鎊 (合 25 萬美元) 。Brian Krebs 最近發布了員工因未能通過網絡釣魚模擬測試而被解雇的例子。

這種相互指責的文化只會讓員工在出現問題時不愿意站出來…… 而這將數據置于風險之中。

畢馬威英國 (KPMG UK) 首席信息官Mark Parr表示：

為了幫助建立這種安全與員工之間的信任，畢馬威啟動了一項計劃，表彰那些提出公司內部安全問題的員工。Parr 表示，自己希望發展這種文化，如果出現問題或發生了什么事，人們樂意告訴他們或向服務臺報告。畢馬威有一個內部系統可以識別員工，其他員工也能看到。如果有人找到自己說，‘我注意到了這個，這有點問題，’那么 Parr 就會通知他們的直屬領導讓他站出來。

英國電商 The Hut Group (THG) 全球安全業務主管Graeme Park警告說，由于企業和個人系統，應用程序和設備之間的聯系——無論是否通過自帶設備 (Bring Your Own Device, BYOD)，人們通過工作電腦查看個人郵件或者相反，或是出于商業目的使用個人 SaaS 賬戶——糟糕的個人安全意識是導致組織機構被攻擊的另一個因素。這取決于企業將控制與教育相結合，而不是訴諸于恐嚇策略。這是再教育的一部分，讓安全平易近人，而不是對員工暴跳如雷。

Park 舉了一個例子，他認為網絡代理經常被 “大器小用”，一個更好的方法是記錄一切包括警告，如果用戶訪問了違反政策的網站，應該要求他們提供為什么需要訪問該頁面的理由。

良好的安全文化是什么樣的

如果互相指責的文化不好，那么良好的安全文化應該是什么樣的呢?畢馬威的 Parr 表示：良好的安全文化應該是，人們本能地理解與日?；顒酉嚓P的風險，知道并有信心能夠減輕或處理這種風險。我們必須摒棄 “一切都很好，CISO會為我們處理好一切” 的想法。

以下是 Parr 和 Park 認為首席信息安全官們為建立一個強大的安全文化需要努力的四個關鍵方面。

1. 讓安全易于理解

自從 Parr 成為首席信息安全官一年多前，畢馬威英國一直在改變其公司內部安全文化和教育方法的進程中，確保該公司在 27 個不同地方的 16000 名英國員工能夠達到一致的安全意識水平。Parr 表示：良好的(文化)是指人們對信息安全感到自信和舒適，而不覺得這是一門科學或一個魔法。

建立安全意識文化的一個關鍵是使其與受眾產生共鳴，因此畢馬威的安全教育內容已被盡可能用通俗易懂的語言來表達，并精心設計了適用于員工的場景。Parr表示，他想讓人們像對待工作上的信息安全一樣對待家庭信息安全，通過設定真實的場景，給人們明確的方向是關鍵。

讓人們了解這些基礎知識會讓終端用戶更容易理解，反過來他們也會更認真地對待企業的信息安全，因為他們想象得出犯錯的后果。Parr 表示，責任感是成功的關鍵。如果人們覺得自己明白為什么要對數據的處理和管理負責，那么事情就成功了一半。

2. 提供持續的意識訓練

作為這種文化變革的一部分，畢馬威已經從實時演示和評估轉向為 Parr 所描述的通過活動、培訓、視頻和播客的 “一種持續的意識訓練”。 看著 PPT 上的幻燈片，盡可能快地瀏覽一遍，最后回答20個問題并希望你能通過考試，這并不能向我證明什么。這只是顯示了你從幻燈片中獲取信息的能力。讓人們明白有一些規則和指導是可用的，知道他們能做什么，不能做什么，以及他們應該扮演什么角色。

Parr 首先發布了一份非常簡單易懂的政策文件。這份文件被濃縮成一頁紙的標題，以便在人們有時間閱讀的時候抓住他們的注意力。然后發展成一個他們在上班的火車上可能會看的三分鐘短視頻。這是為了保持活動的節奏，這樣人們就會一直被提醒。

雖然評估這種文化帶來的影響可能很困難，但 Parr 與公司的學習和發展團隊合作，圍繞公司有多少名員工在收聽播客、觀看視頻和參與到團隊正在制作的其他安全教育中，創建了參與度指標。這些指標可以用來衡量安全教育材料是否能引起員工的共鳴。

為了讓更多的人參與到安全教育中，組織機構的領導層會定期發送信息鼓勵人們觀看、閱讀和聆聽安全材料?！皹I務信息安全人員” 作為信息安全主題方面的專家，負責生產活動。他們鼓勵員工更直接地參與其中。

3. 在影子IT問題上與員工合作

指責員工使用未經批準的應用程序 (稱為影子 IT)，與因安全問題而解雇他們一樣，都是不明智的行為。影子IT問題長期以來一直存在。 它背后的驅動因素實際上是IT系統的廣泛存在;無論是軟件還是硬件，無論是在家里還是在其他任何地方。

Park 認為，人們并不壞，他們沒有試圖利用影子 IT 來故意規避公司政策或公司安全措施。一般情況下，他們只是想更好，更快，更輕松地完成工作做。這對 IT 和安全工作來說是一種失敗;IT 和安全部門可以從攔路虎變成推動者，確保人們擁有完成工作所需的工具。

Park 表示，影子 IT 可以是 SaaS 服務或未經批準的桌面應用程序，到他所說的 “更小但有同樣影響力的影子IT們”，比如集成到 Slack 或 JIRA、瀏覽器擴展，甚至是公司網絡上類似亞馬遜 ALEXA 的設備。無論影子 IT 以何種形式出現，IT 和安全部門都需要更開放地接受它。因為如果人們擔心違反公司政策會受到懲罰，他們永遠不會告訴你他們在做什么。

4. 展示什么是好的

改變公司內部的安全文化也意味著安全團隊思維方式的改變。正如員工希望 CSO 成為一個優秀的溝通者和領導者一樣，安全團隊也需要跟進，既要引人注目，又要平易近人。

Park 表示，在過去的十年里，他們并沒有做好工作讓人們更容易理解安全性。他們很難用通俗易懂的語言來表達，很難在不闡明根本技術問題的情況下解釋風險。

相反，他說關于安全問題需要以一種更類似于健康和安全警告的方式傳達信息。向別人解釋為什么他們不應該在沒有個人防護裝備的情況下爬梯子是很容易的，因為后果顯而易見。向別人解釋為什么他們應該使用 SharePoint，而不能使用 Dropbox 不容易是因為在他們看來，SharePoint 不會產生像爬梯子沒有防護措施那樣的影響。

Parr 一直在與安全團隊合作，改變他們的思維方式，讓他們成為自己試圖在公司中建立的文化的代表和擁護者。

江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案，業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。

江蘇國駿信息科技有限公司——全面可信的信息安全服務商。