安全文化可以培养吗？AWS给出肯定答案

新任亚马逊网络服务首席信息安全官Amy Herzog认为，安全文化超越框架和高管结构。在整个组织拥有正确的哲学理念才是关键。

太多组织缺乏专家所说的"强大安全文化"，这使得它们极易遭受重复攻击和不可接受的风险。但安全文化能否从零开始构建？

安全文化的核心定义与行业现状

安全文化广义上定义为组织共享的策略、政策和观点，这些构成其企业安全计划的基础。多年来，信息安全领导者一直强调强大文化的重要性，认为它不仅能够加强组织的安全态势，还能促进生产力和盈利能力的提升。

安全文化也成为去年网络安全审查委员会（CSRB）关于微软的严厉报告后的焦点。根据2024年4月的报告，CSRB发现"微软的安全文化不足，需要彻底改革"。具体而言，CSRB董事会成员指出微软的整体企业文化"将企业安全投资和严格的风险管理置于次要位置"。

或许并非巧合，几个月后AWS将安全文化作为其re:Inforce 2024会议的重点。这家云巨头强调了结构性方面，包括AWS安全守护者计划，该计划在每个服务开发团队中嵌入领导者，以推广最佳实践并更有效地扩展安全流程。

亚马逊安全文化最常被提及的方面之一是领导团队，特别是关键高管的报告结构。Herzog表示，亚马逊首席安全官Steve Schmidt与总裁兼首席执行官Andy Jassy之间的直接报告关系对公司安全文化至关重要，这也是她认为这种文化可以在AWS客户中复制的重要原因。

但安全文化超越框架和高管结构；Herzog表示，领导者需要拥有正确的哲学和方法，为整个组织的员工创造有效、高效的环境，而不仅仅是安全团队的成员。

根据ISACA的"2024年网络安全状况"报告，三分之二的信息安全专业人士表示，他们的工作比五年前压力更大。该报告调查了全球1,800名信息安全专业人士，还发现大多数受访者正在应对资金不足（51%）和人员不足（57%）的团队。

领导团队与员工沟通方式的简单转变可以产生积极效益——也可能产生负面效果。Herzog建议采用更好的方法：“另一个要问的问题，也是我们在内部流程中使用的是，‘系统是如何构建的，使得这种可能性存在？‘这个问题是，‘我们作为团队没有一起做什么，让这种可能性存在？‘这会驱动不同的行为模式。”

Herzog认为，安全文化难以构建的一个重要原因是许多组织简单地错误定义了成功。

“如果业务团队的成功是’本季度发布产品，我们实际上不关心下季度发生什么’，那么你不会得到正确的结果，“她说。

相反，组织需要采取更长远的视角，理解安全对长期成功至关重要。好消息是，安全不再是开发人员的障碍。过去的"盒内思维”，即停止开发过程检查一切是常态，已经让位于新方法。

软件开发从需求前置的瀑布方法调整为持续迭代方法，可能是Herzog感到乐观的核心原因。“我认为安全社区真的准备好理解这种力量并利用它。”

产品开发仍然面临挑战。例如，长期凭证对组织构成重大风险，而开发人员通常使用它们。因此，安全团队的任务是让开发团队更容易使用短期临时凭证。

尽管存在这些障碍，Herzog认为技术行业在能够大规模构建安全产品和服务方面处于"有意义的不同位置”。虽然其他垂直行业的客户组织将有不同的产品开发流程，但Herzog认为同样的经验教训将适用。

“那种文化剧本——我们都在这里为客户服务，我们知道客户有期望，我们需要赢得并保持他们的信任，这是我们要构建的产品，这是它的样子，这是我们将如何一起构建它——是我在其他业务中看到的情况，所以我相当乐观，“她说。