如何制訂有效的網絡安全意識計劃？

人員已成為全球網絡攻擊的主要媒介，正如Verizon2022年數據泄露調查報告所揭示的，現在對企業構成最大風險的是人，而不是技術。

根據SANS 2022安全意識報告，安全專業人員最關心的三大安全風險是：

• 網絡釣魚
• 商業電子郵件泄露(BEC)
• 勒索軟件

三大威脅都與人員行為密切相關。因此，如何制訂有效的安全意識計劃已經成為人為風險管理的關鍵所在。很多企業在安全意識實踐中面臨兩難境地，力度小了員工敷衍了事，而力度大了，如果方式不對，有時候也會起到反作用，甚至會讓安全意識培訓在企業內部落下“不講武德”的壞名聲。

識別、管理和量化人為風險的能力可以作為評判企業安全意識計劃成熟度的重要指標，企業也可以參考SANS研究所創建的安全意識成熟度模型（下圖）來評估其意識計劃的成熟度。

安全意識成熟度模型能幫助企業識別和評估其安全意識計劃的成熟度水平，并確定改進途徑。

根據SANS的調查，最有效的安全意識計劃都有一個共同特征，那就是那些專職的管理和執行人員多，規模較大的安全意識團隊能更有效地與安全團隊合作，識別、跟蹤和優先考慮最重要的人為風險，并吸引、激勵和培訓其他員工來管理這些風險。

安全意識計劃不再僅僅是應付合規的年度培訓，而是公司有效管理人為風險至關重要的工作，這也是安全意識計劃獲得領導支持的關鍵所在。

從改變行為開始

在今年8月初舉行的SANS 2022安全意識峰會上，Brex的安全意識工程經理Cassie Clark討論了人員行為背后的驅動因素。這些驅動因素包括個人的知識、動機、生物學和下意識思維，也包括外部的社會規范和經驗。

要改變人員的某種行為，首先應該定義該行為，并確定該行為背后的基本原理，并考慮如何通過最少的干預對其施加影響。為了灌輸安全思維，企業需要將安全集成到日常流程中，使安全易于“消化”，并通過適當的技術緩解措施來提供支持。

Cassie Clark分享了一個實用的安全意識計劃入門指南，包括以下步驟：

與安全團隊協調以確定需要矯正的三大人員行為

選擇一種行為并列出其背后可能的原因

將該行為的規范添加到安全消息中。小心避免噪音和信息疲勞，尊重不同的學習方式，并利用社交推動學習。

開始收集數據

用領導力將安全意識方法社會化

眼光要超越安全意識

安永公司美洲人類網絡風險和教育負責人Alexandra Panaretos提出了一個有趣的問題：“如果我們關注的是未來的而不是現在的身份，該怎么做？實現長久安全業務運營的關鍵是什么？”

答案的關鍵在于：持續降低人為風險。

Panaretos確定了人員風險的四個關鍵要素：

參與：創建基于角色和風險的活動和溝通，在正確的時間向正確的人傳遞正確的信息，以支持正確的安全行為

賦能：為員工提供知識和工具，展示正確的安全行為以及如何在面臨威脅時做出正確選擇

執行：將網絡安全整合到企業的崗位職能和業務生命周期中

發展：安全文化建立在與安全團隊成員的信任、有效溝通和積極體驗之上

同事對話是改變行為的催化劑

Layer8首席執行官Sarah Janes認為安全意識出色的員工可以通過與同事對話和協作促進企業安全文化變革。Janes的方法參考了Edgar Schein的組織文化科學研究和David Cooperrider的優勢強化理論。

Janes認為，如果安全意識出色的員工能夠遵循（對話+協作）*積極關注的公式，就可以推動全體企業人員的行為改變。更積極主動并與同事互動的安全意識優秀人員可以有效降低風險，因為員工更愿意向同事報告安全事件和懷疑。

最后，Sarah Janes提供了改變人員行為的路線圖：

定義行為：利用安全意識出色的員工發現錯誤行為確認成果：

將點連接起來，用數字展示成果

查找數據源：如果可以看到業務風險，則更容易更改系統

收集數據：激勵機制和游戲化，但要具有包容性

呈現數據：來自其他企業的用例研究

使用數據：用數據來發現更多的安全意識優秀員工

如何讓開發人員熱愛安全

Sage公司的Madeline Howard和Sophia Adhami分享了安全開發的安全意識計劃經驗：首先要深入了解開發人員的世界。他們采訪了軟件安全人員、產品負責人和和安全意識經理，還參加了所有團隊的會議，目標是了解開發人員的思維方式——他們使用的工具、復雜的技術環境，以及他們成功的原因。通過了解開發人員的行為，Howard和Adhami希望建立尊重并承認開發人員的專業知識。

根據內部研究的成果，他們接下來設計了支持變革的安全意識架構，并贏得了開發人員的認可。高層管理人員和軟件安全經理就“安全是重中之重”這一基調達成共識，然后他們編制了量身定制的消息，將共識傳達給開發人員。所有開發人員都欣然接受了針對技術和漏洞的培訓，以充分了解不安全代碼給業務帶來的風險。Sage還有一套完善的安全意識激勵機制，包括：安全冠軍名人墻、CISO郵箱、獎品和T恤、內網上的文章等。

Howard和Adhami從安全意識項目一開始就監測變化，因而能夠向領導層和開發人員證明，投資安全意識計劃可以將修復漏洞的時間縮短82%。

這個案例的主要收獲是：

您不必是技術人員，但你一定要善于傾聽

你不是在創造一種新的文化，你正在調整文化。我們正在提高安全能力，以便全體員工都朝著同一個方向發展

技術人員想做正確的事，你必須想辦法讓他們參與進來

結論：用文化做推手

成功的安全意識案例還有很多，例如Equifax公司的安全意識項目。該公司在2017年的重大網絡安全事件后開始積極改變其安全文化，并取得顯著成果，這些都證明了關注網絡安全中“人的因素”的重要性。

最重要的是轉變企業文化，使其成為能夠在整個業務流程中提高人員安全意識的推動力。制訂并實施有效的安全意識計劃并非遙不可及，CISO們可以多留意同行業的成功案例，并將最佳實踐應用自身企業。