越来越明显的是,这项技术, systems, 网络安全专业人员使用的政策和协议的强度取决于使用它们的人的习惯. In the digital age, 网络安全对每个组织来说都是至关重要的, 然而,建立强大的网络安全文化仍然是一项挑战. 这一挑战不仅仅是掌握最新的技术或实现最强大的协议. 它还涉及影响人类行为, 掌握变更管理,培养正确的习惯.
这一挑战的很大一部分在于人的因素. 多达88%的云泄露是由人为错误造成的.1 这包括配置错误、未能实现最小特权原则2 and neglected software updates. These vulnerabilities, 在面对复杂的技术解决方案时经常被忽视, 对组织的安全状况构成重大风险.
Start With a Habit Assessment
这个难题的解决方案来自一个不太可能的来源: Atomic Habits3 作者是詹姆斯·克利尔(James Clear),这本书于2018年出版,广受欢迎.
Clear's principles and philosophy, advocating for small yet consistent changes, 应该与网络专业人士产生深刻的共鸣. These principles, 虽然最初并不打算用于网络安全领域, 是否可以创造性地应用于为弹性网络安全文化构建一个强大的框架. Clear的原则可以适用于网络安全习惯的培养.
奠定基础:微变化作为第一步
从Clear的书中得出的最初原则是从小处开始的概念.4 考虑到网络安全的复杂性和技术性, 对于许多员工来说,这通常是一个令人生畏的话题. Rather than implementing sweeping, 大规模的变化可能会导致混乱或阻力, 应该引导团队采用简单的方法, manageable cybersecurity practices.
Rather than implementing sweeping, 大规模的变化可能会导致混乱或阻力, 应该引导团队采用简单的方法, manageable cybersecurity practices.
这段旅程可以从基础开始,例如,云访问权限的管理. 这包括定期审查谁有权访问哪些信息或资源以及为什么访问, 当员工改变角色或离开组织时撤销访问权限, 实施最小特权原则, 其中,用户被授予执行其工作所需的最低级别的访问权限. These minor changes, when consistently applied, 能否成为澳门赌场官方下载网络安全框架的基石.
这种微小变化的累积效应可能令人惊讶. Over time, 这些变化可以显著增强澳门赌场官方下载的整体安全态势, 证明小习惯可以大大提高网络安全弹性.
Habit Stacking: Linking New With the Old
Clear的习惯叠加原理为采用新做法提供了一种新颖的方法. 当新的网络安全习惯与既定的常规相结合时, 团队更倾向于采用和维护它们. For instance, 鼓励员工在每天早上检查收件箱时查看并报告任何可疑的电子邮件,可以成为日常工作的固有组成部分, 从而逐步增强组织的安全性.
Shifting Focus: Embracing the Process
In the realm of cybersecurity, it is easy to become fixated on outcomes, 例如防止的事件数量或没有违规行为. 然而,更有效的方法是关注过程而不是结果. 这种观点需要从被动的立场转变过来, 其中团队不断响应网络安全事件, to a proactive stance, 其中,团队始终致力于维护和增强网络安全态势.5
这种转变代表的不仅仅是行动上的转变. 它标志着集体心态的深刻转变. As a result, 团队将开始意识到网络安全不是一个有限的目标, 而是一段持续的旅程,需要坚持不懈的努力和警惕.
团队将开始意识到网络安全不是一个有限的目标, 而是一段持续的旅程,需要坚持不懈的努力和警惕.
To support this shift, 组织应该考虑实施定期培训课程,以确保团队了解最新的威胁和最佳实践. 积极主动的学习和发展态度是培养持续改进文化的有力催化剂. 这种转变的连锁反应可能是深远的, 导致团队网络安全方法的显著增强.
激励网络安全:吸引力的力量
在Clear的工作中,一个突出的原则是让新习惯变得有吸引力. 这在网络安全的背景下提出了一个有趣的挑战, 这个领域通常被认为是复杂和乏味的. 如何才能使网络安全习惯的采用更具吸引力?
一种解决方案是尽可能发挥游戏化的力量. 通过将网络安全实践转变为具有吸引力的挑战或竞争, these habits become more attractive. 这种方法将网络安全从一项可怕的义务转变为一项刺激参与和学习的有吸引力的活动.
采用的简单性:便于使用
Clear哲学的一个基本原则是习惯养成的便利性. In alignment with this principle, 重点应放在尽可能简化网络安全实践上. 这可能包括提供用户友好的工具、明确的指导方针和简单的程序. For instance, 引入密码管理器可以显著缓解与密码相关的问题. 这种简单性不仅促进了安全实践的采用,还鼓励员工及时报告安全事件, 从而提高对潜在威胁的响应能力.
通过满足来强化:即时反馈的力量
Clear强调了养成令人满意的习惯以确保其长寿的重要性. 根据这一原则,优先考虑即时反馈和强化可能是有益的. 无论是口头表扬还是更正式的认可, 比如月度最佳员工奖, 手势可以在激励团队和肯定他们的努力方面发挥关键作用.
持续改进:定期评审的重要性
另一个宝贵的教训强调了定期审查和调整的重要性. 尽管由于工作量大,这一课在日常实践中往往被忽略, 将其整合到网络安全常规中至关重要. 定期的反馈会议和数据分析有助于确定优势和劣势, 为改进提高效率的战略铺平道路. 这种不断演变的循环是在动态的网络安全环境中保持弹性的基石.
培养支持性环境:向集体责任的转变
最后,也是最关键的原则是创造一个支持性的环境. 培育开放合作的文化强调网络安全是一项共同的责任. This shift can be profound, 用集体所有制的意识和每个人的投入都是有价值的理解来取代对指责的恐惧.
Conclusion
将Clear的原则融入网络安全文化是一段转型之旅. Minor changes, when consistently applied, can create a culture that is aware, responsible, and equipped to handle cybersecurity events. If there is one insight to take away, 建立一个强大的网络安全文化不是关于规则和协议,而是关于习惯. As Atomic Habits 习惯从小处开始,但却能带来有意义的改变. 随着网络安全领域的不断发展, 习惯的力量及其对组织的潜在影响保持不变. 考虑如何在组织内应用这些原则对于加强网络安全弹性是非常宝贵的.
Disclaimer
The opinions, 本文中表达的观点和立场仅仅是作者的观点和立场,并不反映作者雇主的立场. 作者的关联公司不对准确性承担任何责任, 内容的完整性或有效性,不会对可能在其中发现的任何相关问题负责.
Endnotes
1 Harrison, P.J.; “88%的云泄露是由于人为错误,” The Fintech Times, 2020
2 Carson, J.; Least Privilege Cybersecurity for Dummies, Wiley, USA, 2020
3 Clear, J.; Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones, Penguin, USA, 20183
4 Ibid.
5 美国国家标准与技术研究院, NIST特别出版物800-39,管理信息安全风险第1版.1 USA, 2011
Fouad Mulla, CISM, CISSP, CASP+
Is a cloud security architect, 网络安全首席顾问和数字领导者,在信息和软件行业拥有超过15年的经验. 他曾与跨国澳门赌场官方下载密切合作, 在确保其安全和复原力方面发挥关键作用. Mulla指导了许多澳门赌场官方下载管理和保护他们的关键信息. 他的见解使组织能够识别和理解网络安全风险, enabling strategic business decisions, 特别是在关键基础设施项目方面. 此外,Mulla还担任本书的技术评论员 Multi-Cloud Administration Guide 并在几个主要的网络安全会议上发表演讲.