国家网络安全中心阐述如何构建网络安全文化

安全领导者长期以来习惯于扮演 IT 部门中那个负责“说不”的角色，而从今天起，他们可以借助国家网络安全中心 (NCSC) 发布的新指导，在工作场所为需要保护的人群建立起高效的网络安全文化。

由于终端用户在任何网络防御策略中都处于最前沿，而威胁行为者正是必须穿过这道防线的环节，因此，致力于在企业内部培养强烈安全意识的组织已被证明在抵御网络攻击方面更具韧性，更能迅速响应并从那些未能拦截的攻击中恢复。

然而，安全文化这一概念对于技术安全供应商来说既难以推广，也难以让安全领导者在员工中落实，往往只能让位于安全产品与服务。

NCSC 将网络安全文化描述为“在工作场所内，对网络安全方面什么是正常和有价值的这种集体认知……（该文化）设定了行为与关系方面的期望，从而影响人们协作、信任与学习的能力”。

NCSC 首席技术官 Ollie Whitehouse 表示： “企业领导者必须认识到网络安全是成功的基石，这应当从果断采取行动、在整个组织内植入坚实的安全文化开始。没有一种能使所有员工都觉得安全变得触手可及、富有吸引力且与自身切实相关的文化，风险就可能被忽视——从而为恶意行为者利用企业的技术与系统打开大门，可能会带来毁灭性且持久的影响。最新的 NCSC 指导详细阐述了六项明确原则，以帮助克服建立积极网络安全文化时所面临的障碍，让高层带头并将其融入每个组织中。”

六大核心原则

NCSC 发布了一份包含六大核心原则的清单，他们认为这将帮助安全领导者创造出最佳条件，使一种重视安全行为并让员工在参与中感到安心的安全文化得以蓬勃发展。NCSC 表示，他们希望帮助构建既高效又具备网络安全能力的员工队伍，同时也认识到各企业都有其独特性，没有一种方法能够适用于所有情形。

按顺序，网络安全文化原则如下：

首先，网络安全领导者应努力将安全描述为一种帮助企业实现核心目标的手段。应鼓励员工了解网络安全在维持日常 IT 运转和确保数据可用性方面的重要性，以及他们的行为如何对这一目标产生贡献。同时，还应努力将安全政策与流程塑造成不会妨碍员工正常工作的措施。安全部门的工作人员应接受培训，认识到其工作的潜在影响，并有权采取措施减少可能的负面效果，比如在未先提供替代方案的情况下阻断核心员工工作流程中嵌入的第三方工具而引发的问题。

其次，网络安全领导者应致力于构建安全感、信任和促进开放透明的流程。理想状态是营造一个心理上安全的环境，使员工在讨论网络安全问题时感到自在，并拥有便捷的渠道来提问或报告问题。必要时，事件调查应以学习和改进为出发点，而非指责，且无心的错误绝不应受到惩罚。

第三，网络安全领导者应积极拥抱变化，以应对新出现的威胁，并抓住机遇提升组织韧性。具备韧性的机构，其核心在于适应性，同样适用于安全文化。安全文化应当对变化持积极态度，但对于可能带来破坏性影响的急速调整仍须保持谨慎。面对新安全政策时，员工应能感受到支持，并得到帮助以适应这些变化所带来的影响。

第四，网络安全领导者应努力确保工作场所中的社会规范能够推动安全行为。许多企业虽然口头上大谈安全，但到了关键时刻，不成文的潜规则往往允许某些取巧行为存在，而安全团队对此视而不见，这常常使安全措施形同虚设。仅仅要求员工不要做诸如将机密文件用 USB 带带回家的愚蠢行为是不够的，领导者需要着力探讨规范背后的根本公司价值观——例如，在工作时间之外或周末高压完成工作任务的压力，正是使得这些行为“被接受”的根源。

第五，网络安全领导者应鼓励整个组织的高层管理团队为其行为对安全文化产生的影响承担责任，共同商定并传达共享目标，并将这些目标作为决策的核心。企业高层（c-suite）必须树立安全行为的榜样，积极影响企业的社会规范，同时制止那些可能被无意中视为可接受的问题行为。

最后，网络安全领导者应提供维护良好、便于获取且易于理解的安全规则和指南。这些规则应经过测试，以确保其有效性、实质性贡献、可用性、可访问性及包容性，并与企业共享的目标保持一致。尤其需要明确区分那些必须遵守的规则与仅供参考的建议性指南。必须不断征求反馈，并将其融入政策中，同时广泛传达变更信息，将过时的材料从入职包或公司内网中剔除。