NCSC制定构建网络安全文化的方法

英国国家网络安全中心(NCSC)发布了针对安全团队和领导者的指南，指导他们如何在组织内培养易于接受且合适的网络安全文化。

习惯于被视作IT部门中“总是说不”的安全领导者们，从今日起可参考NCSC关于在工作场所保护对象中创建有效网络安全文化的新指南。

由于终端用户是任何网络防御策略的前线，威胁行为者必须通过他们，那些努力在业务中培养强烈安全意识的组织已被证明对网络攻击更具韧性，且能更好地应对和恢复那些溜进来的攻击。然而，安全文化既是一个技术安全供应商难以销售的概念，也是安全领导者难以嵌入员工中的概念，因此这一想法往往让位于安全产品和服务。

NCSC将网络安全文化描述为“集体理解在工作场所中关于网络安全的正常和重视事项……设定行为和关系的期望，影响人们的协作、信任和学习能力”。NCSC首席技术官Ollie Whitehouse表示：“企业领导者必须将网络安全视为成功的基础，这应从采取果断行动开始，将强大的安全文化嵌入其组织。没有一种让所有员工觉得安全可及、可取且相关的文化，风险可能被忽视——为恶意行为者利用组织的技术和系统敞开大门，带来潜在毁灭性和持久的影响。这份最新的NCSC指南详细列出了六个清晰原则，以帮助克服建立积极网络安全文化的障碍，从顶层领导并嵌入每个组织。”

六大核心原则

NCSC发布了一份六大核心原则列表，认为这些原则将帮助安全领导者创建最优条件，使一种重视安全行为并让人们感到安全参与的安全文化得以蓬勃发展。它表示希望帮助建立既高性能又网络安全的员工队伍，并指出所有企业都在某种程度上是独特的，没有一种一刀切的方法可以覆盖所有基础。

按顺序，网络安全文化原则如下：

1. 网络安全领导者应努力将安全框定为使企业实现核心目标的事物。 应鼓励人们理解网络在保持日常IT运行和数据可用性方面的重要性，以及他们自己的行为如何贡献于此。尝试将安全政策和流程框定为不会阻碍人们正常工作的事物也很重要。那些在安全职能部门工作的人应被教导意识到他们可能如何做到这一点，并被授权努力减少可能的负面影响，例如，在未首先提供替代方案的情况下，阻止核心员工在工作流程中嵌入的第三方工具访问所引发的问题。

2. 网络安全领导者应努力建立安全、信任和流程以鼓励开放性。 在这里，“良好”看起来像是创建一个心理安全的环境，让人们感到舒适地谈论网络安全，有快速且可及的途径提问或报告问题。需要时的事件调查应从学习和改进的角度进行，而不是指责，且绝不应惩罚无辜的错误。

3. 网络安全领导者应努力拥抱变化以管理新威胁，并利用机会提高韧性。 有韧性的组织本质上是适应性的，这对安全文化也适用，应对变化持积极态度，但在匆忙进行可能具有破坏性的变化时应谨慎。新安全政策的接收者应感到在应对其影响时得到支持。

4. 网络安全领导者应尝试确保其工作场所内的社会规范促进安全行为。 许多企业说得好听，但到了紧要关头，关于哪些捷径可以采取以及安全团队睁一只眼闭一只眼的潜规则往往使安全职能 essentially pointless。仅仅要求人们不要做愚蠢的事情，如将机密文件带回家放在USB stick上，是不够的，领导者需要努力深入规范的核心，解决 underlying company values——在这个例子中，可能是压力要求在非工作时间或周末完成工作——使它们“可接受”。

5. 网络安全领导者应鼓励其组织的更广泛领导团队对其行为对安全文化的影响负责，同意并沟通共享目的，并使这些成为决策的核心。 必须依靠C-suite建模安全行为并积极影响企业的社会规范，并 disincentivize 他们可能无意中视为可接受的问题行为。

6. 最后，网络安全领导者应提供维护良好的、可及且易于理解的安全规则和指南。 规则应经过测试以确保它们有效、有意义的贡献、可用、可及和包容，并与企业的共享目的保持一致。让人们理解必须遵守的规则与仅提供建议的指南之间的区别尤为重要。必须不断寻求反馈并将其纳入政策，且 changes 应广泛沟通，过时的材料应从入职包或公司内网中删除。