建立强大的资讯安全文化

关键要点

在资讯安全领域，人是最脆弱的一环，因此必须培养一种强大的内部文化，以在面对威胁时促进警觉性、响应能力和责任感。这种文化的建立不仅适用于组织中的一般员工，也同样适用于安全操作中心（SOC）内的专业人员。虽然建立这种文化是长期挑战，但通过强有力的领导和清晰的愿景，是可以实现的。

在资讯安全领域，如果人类是最薄弱的环节，那么推崇警惕性、响应能力和责任感的内部文化显得尤为重要。这一原则不仅适用于您组织中的一般员工，也同样适用于您安全操作中心内的安全专业人士。

然而，构建这种文化是一项长期的挑战。那么该如何开始呢？又该如何维持您试图强化的网络行为？本周，夏威夷电信的服务交付高级经理乔丹·西尔弗（JordanSilver）在佛罗里达州奥兰多的上分享了他的独特见解。

西尔弗提到，在网络行业的活动中，许多演讲者都强调拥有强大安全文化的重要性。然而，“却没有很多人谈论如何建立这种文化……”。

他说，培养SOC员工之间的文化必须从高层做起。这需要有力的领导和刻意付出努力去实现预期的目标。

“文化通常是由我们作为领导者所允许的最差行为所塑造的，”西尔弗表示。“如果您决心实现一个重要的文化，并且对您的组织有益，那您就必须有意图地去推动这一点。”否则，您就只是把责任留给您的SOC员工，让他们自己发展一套工作规范——“您不会想这样，”他继续说道。

西尔弗分享了一系列建议，说明如何塑造SOC文化。首先，您需要有明确的愿景，以便所有相关人员都理解他们的期望到底是什么。他指出：“如果人们不知道要去哪里，他们就不知道该怎么做才能到达那里。”在知道目标后，您必须热衷于宣传您的愿景。“人们希望知道自己是这一愿景的一部分，而不是为了某个他们并不关心的人工作。”

如果愿景传达得当，员工在达成愿景时甚至会感受到满足感。此外，不要害怕重复这个信息，西尔弗补充道。

“如果您觉得自己说得太频繁，那可能正好合适，”他说。“您应该每周、每天都跟他们提起。您所做的一切都应该与愿景相关联，如果您做得对的话。”

拥有一个战术使命声明有助于进一步明确期望。比如，夏威夷电信的安全小组使命是“持续监控和增强组织的安全姿态，同时通过技术、明确的流程和程序以及‘阿罗哈’精神，保护、预防、分析和响应网络安全事件。”

同样重要的是，要解释您的政策和程序的原因，而不是强迫员工盲目遵循命令。这样，如果您的常规操作程序未能完全减轻重大事件，SOC员工至少能完全理解最终目标，这会增加他们采取正确步骤的可能性。

西尔弗还强调了对SOC员工展示信任的重要性，让他们在坚持愿景的同时拥有一些灵活性、自主性和独立性。毕竟，“如果您雇佣了聪明人，然后又要命令他们一天到晚做什么，那有什么意义？”西尔弗问道。“有多少人上班时心里希望被微观管理，准确被告知自己该做什么？”

“您教他们‘为什么’，教他们‘什么’，然后让他们去做，”西尔弗继续说道。代表权也有助于CISO或安全领导者，因为这样他们就不必一直埋在工作中，他补充道。

西尔弗建议在委托下属时遵循80%规则：如果最终产品的质量达到您完成的80%，那就值得，因为您的员工会“感到您信任他们，他们会对此感到自豪，”他说。“这种归属感会使结果超越您能做到的任何事情，因为这部分任务永远不在您的盘子上，而……那20%可能并没有那么重要。”

除了设定使命外，您还应为SOC员工建立明确的个人目标——这些目标必须清晰，而非模糊。

这并不总