为了保护数据安全企业还要上演“宫锁心计”

-7-为了保护数据安全，企业还要上演“宫锁心计”？为了更好地爱护数据，平安团队需要创建一种个人责任文化，而不是责怪和恐吓。以下是两位平安主管的做法。

平安团队无法爱护他们看不到的东西。虽然监控工具做得越来越好，但是最终用户和业务经理需要告知IT和平安团队他们在不同应用程序上所使用的数据，尤其是在消失问题时。

平安方面中的责怪和恐吓等企业文化意味着最终用户不会告知你他们是否使用了未经批准的应用程序，点击了恶意链接或看到了特别活动。直到问题消失之时已经为时已晚。平安团队应当建立一种用户个人责任文化，以便他们能够像对待健康和平安等企业政策一样对待数据平安。

1

责怪文化只会让平安性越来越差

将人视为一个薄弱环节，并制造一种员工担忧因平安故障而遭到报复的环境，这不是经营企业的好方法。然而，一些企业往往会实行一些极端措施来惩处骗局的受害者。一家苏格兰媒体公司在遭受网络钓鱼骗局后解雇并起诉了一名员工，缘由是骗子冒充该公司总经理从这名员工手中骗走了约20万英镑（25万美元）。BrianKrebs最近公布了多起员工因未通过模拟网络钓鱼测试而遭到解雇的案例。

这种责怪文化只会让员工在消失问题时不敢站出来从而使数据面临风险。"这些处理信息的人不能成为薄弱环节，'毕马威英国首席信息平安官MarkParr说。"我盼望让员工感到平易近人，假如他们犯了错误，他们能够告知我。这一切都是为了建立信任，让我的同事们觉得我实际上是在支持他们而不是在事情出错后就要惩罚他们。'

为了关心建立平安团队与员工之间的信任，毕马威启动了一项方案，旨在表扬那些在企业内部发觉了平安问题的员工。Parr称："我盼望进展这种文化，让人们乐于告知我，或者是在发生问题或事情后，他们能够向服务台报告。我们有一个内部系统，我们会表扬员工，其他员工也都可以看到。假如有人来找我说我留意到了这个问题，那么我会让他们的直接主管知道是这个人主动站出来报告了问题。'

英国电子商务零售商TheHutGroup（THG）全球平安运营主管GraemePark警告称，无论员工是使用BYOD（自带设备），还是从工作计算机访问个人电子邮件，亦或是通过个人计算机访问工作邮件，还是出于商业目的使用个人SaaS（软件即服务）账户，鉴于业务与个人系统、应用程序与设备之间的关系，糟糕的个人平安是企业遭到攻击的一个因素。企业可以将掌握与培训相结合，而不需要实行恐吓的手段。Park称："这是一个重新培训的问题，目的是让平安部门变得平易近人，而不是将员工打倒让他们永久无法翻身。'

例如，Park在网络代理方面常常"小题大做'，同时记录全部内容，包括对用户访问违规网站的行为进行警告并应要求用户供应理由，说明为什么需要使用访问该页面。他说："你在履行掌握权的同时应给他们灌输平安学问，让他们思索并让他们自己证明。假如员工们这样做，那么他们会有意识地打算自己的所做所为是否正确，是否平安，是否符合规定。'

"他们也知道会在这个阶段被审核，这实际上会让他们再多考虑考虑。同时这也给予了他们更多的权力，'Park补充道。

1

优秀平安文化应具备的特征

假如责怪文化不好，那么优秀的平安文化应当是什么样子呢？毕马威的Parr认为："人们下意识地知道与日常活动相关的风险，并且有信念降低风险或处理风险。我们必需摈弃一切都很好，首席信息平安官会为我们处理好的这种想法。'

Parr和Park认为首席信息平安官应当专注于在以下四个关键领域供应强大的平安文化。

01

让平安性变得浅显易懂

自从Parr在一年多前担当首席信息平安官以来，毕马威英国公司始终在转变其在公司内部的平安文化和教育方法，以确保该公司在27个办公地点的16000名英国员工在平安意识方面都处于同一水平。Parr称："良好的文化可让人们对信息平安布满自信和感到贴心，而不是觉得它们是一门科学或玄学。'

创建具有平安意识的文化的一个关键方面是让受众喜闻乐见，为此毕马威的平安教育内容尽可能以简洁易懂的语言编写，并且适用于员工。Parr称："我盼望员工在家中对信息平安的看法与他们在工作中的看法全都。通过设定现实生活场景，为员工指出明确的方向特别关键。'

"无论是关心客户进入我们的客户演示套件的前台工作人员，还是正在进行审计的人员，或者是关心客户解决技术问题的技术团队人员，只要语言是一样的，那么就都可以听懂。'

这些基础学问会让最终用户更简单理解，反过来也意味着他们会更加仔细地对待企业信息的平安性，由于他们可以想象出错的后果。Parr说："对我来说，胜利的关键是责任。假如员工认为他们理解了为什么自己对这些数据的处理和管理负有责任，那么我就做对了。'

02

供应持续的意识培训

作为这种文化变革的一部分，毕马威已经从演示、评估进行到了Parr所称的"持续不断地灌输意识'阶段，即通过活动、培训、视频和播客培育意识。"观看幻灯片、尽可能快地点击、最终回答20个问题并盼望你及格，然而这些并没有真正向我展现任何东西，只表示你能够记住幻灯片中的一些信息。我想要的是让人们了解一些规章和指导，知道自己可以做什么和不能做什么，以及自己的角色。'

Parr称："首先要使用特别简洁的语言、易于阅读的政策文件，将这些文件压缩成像篇幅不大的新闻热点一样，以吸引人们抽时间阅读它们。然后再配上三分钟时长的小视频，便利人们乘车上班途中观看这些视频。这样做的目的是为了保持意识灌输活动持续不断，让员工始终处于被提示中。'

虽然对文化进行测评特别困难，但是Parr还与公司的学习和开发团队合作，围绕公司有多少员工正在收听播客、观看视频以及与团队正在制作的其他平安内容进行互动等状况制定了参加度指标。这样有助于获得培训材料是否与工作人员产生共鸣的指标。

他补充道，"我还需要不断考虑与员工进行互动的新方法，不仅要在平安性方面提示他们，还要让他们更多地参加到我正在尝试的事情当中。'

为了提升员工学习的乐观性，公司高层会定期鼓舞员工观看、阅读和收听这些平安材料。业务信息平安官们要作为信息平安主题专家深化到业务领域，鼓舞员工更直接地参加其中。

03

与使用影子IT的员工合作

以平安为由解雇员工，从而制止员工使用未经批准的应用程序（称为影子IT）是不明智的。Park认为"影子IT长期以来始终是一个问题，其背后的推动因素实际上是IT系统无处不在，无论是软件还是硬件，无论是在家里还是其他地方。'

Park称："这些人并不坏，他们也并没有试图利用影子IT有意规避公司政策或公司平安策略。通常状况下，他们只是想更好更快更简单地完成工作。这是IT和平安部门的失败，我们可以从阻挡者变为推动者，确保员工们拥有完成工作所需的工具。'

Park表示影子IT的范围涉及SaaS服务、未经批准的桌面应用程序以及一些"规模很小但是影响力很大的东西'，如与Slack或JIRA、扫瞄器扩展、甚至是与企业网络上类似亚马逊Alexa等设备的整合。无论影子IT实行何种形式，IT和平安都应以更加开放的态度接受它们。假如因担忧违反公司政策而遭处处罚，那么将导致用户永久都不会告知IT部门他们在做什么。

Park称："在这一点上，我们要更加聪慧敏捷。无论怎么说这些事情都在切切实实地发生。假如使用这些外部工具的风险有限假设有人想要在工作中使用某款设计工具，而这些工作又不涉秘那么这种状况的风险可能有限。你需要能够为人们供应肯定程度的敏捷性。'

04

乐观展现优秀平安文化

转变企业内部的平安文化也意味着转变平安团队的思维方式。员工们盼望首席平安官成为一名优秀的沟通者和领导者，和首席平安官一样，平安团队也要追求这种效果。

Park称："过去十年来，平安团队在平易近人方面做得并不是很好。我们很少用简洁的语言进行表述，我们也没有在阐明真正的基本技术问题的基础上阐明风险。'

Park认为，平安需要以类似健康和平安警告的方式传达信息。"向人们解释为什么不应在没有个人防护装备（PPE）的状况下进行攀岩，由于这种后果是显而易见的。但是向人们解释为什么他们在使用SharePoint时不能使用Dropbox却特别困难，由于它们的后果并不像在没防护的状况下攀岩的后果那么明显。'

"我们需要真正的参加和教育，从而确保员工了解他们正在做什么，知道假如自己失去了某些文件或学问产权会发生什么。将问题框在每个人应担当的责任当中具有巨大价值，'Park说。

Parr也始终与平安团队合作，尝试着转变他们的思维方式，让他们成为自己向公司其他部门灌输平安文化的大使和拥护者。他说："这些人正在展现优秀的平安文化应当是什么样子，同时也让他们的同事不断看到这些优秀的平安文化。很长一段时间以来，信息平安被视为一种商业行为，这扼杀了很多好的想法。现