提升企业安全文化的策略

关键要点

在面临网络安全威胁时，网络安全专业人士通常会对员工请求进行严格审查，这可能会影响工作流程和效率。为了应对这些挑战，企业需要在沟通和参与方面作出改变，安全团队应该消除沟通障碍，正面强化安全行为，并在处理新请求时采取“是的，另外…”的态度。以下是一些提高企业安全文化的有效建议。

在应对不断的威胁时，网络安全专业人员通常持谨慎态度，审核员工请求，并因而实施严格的安全措施，这可能会限制工作流程和效率。面对沉重的工作负担和紧迫的截止日期，大多数员工都希望选择最简单的方式。如果安全检查变得复杂或耗时间，员工可能会绕过安全协议，这无疑会让组织面临风险。

要应对这一挑战，企业需要在沟通和参与方式上进行转变。安全团队必须努力消除沟通和报告的障碍，正面强化期待的安全结果，并在评估新请求和项目时先从“是的”开始。通过实施以下建议，安全领导者可以改变公司对安全的看法，并与员工建立更为协作的文化。

战略沟通以促进协作

鼓励企业全体成员积极参与安全工作应该成为安全领导者的首要任务。这可能需要将沟通重新构架为“安全需要每个人的帮助以取得成功”，而不是“安全旨在阻止员工犯错”。强调安全并不想拖慢或复杂化任何人的工作是至关重要的。安全的目标是保护企业及其员工，因为大家都希望企业能够成功。

这一“共同合作”的主题应延伸至强制性安全培训。在提供安全培训时，考虑提供短小且有趣的培训课程，而非冗长的年度培训，这样能够不打断员工的工作日。

消除沟通及报告的障碍

鼓励员工报告任何可能的网络安全威胁。
“看到什么就说什么”已经不仅仅是成功的TSA宣传口号：这是每个人在工作时都应当接受的信念。这种做法的成功取决于公司是否建立了快捷且简单的报告流程。通过在现有工具（如Slack）中建立沟通和报告路径，消除障碍，构建自愿参与的渠道，让员工觉得他们在为公司的安全工作积极贡献。比如，可以将报告网络钓鱼尝试的过程简化为在邮件平台中点击一个按钮。利用能够融入持续集成/持续交付（CI/CD）流程的DevSecOps工具，帮助软件团队在发布代码之前迅速发现并修复漏洞。

这种报告方式让每个人都能获益。报告漏洞的人会觉得自己做出了贡献，而不会感到不便。这些报告不仅为安全团队提供了调查材料，员工往往还能够提供帮助识别真正威胁的关键信息。这些细节在调查和分类潜在问题时可产生重要影响。

积极强化良好行为

安全的目标是防止和缓解不良结果，这可能导致负面强化。例如，从只是红色警告条阻止邮件，到极端情况下的部门评级或“羞辱名单”。但常常会有那些遵循最佳安全实践的员工被忽视。

通过强调积极强化和公开认可，安全领导者将看到员工参与和互动的显著转变。通常，这很简单：在那些在Slack上报告安全问题的员工名称旁边放一个安全金星。如果员工看到同事积极与安全部门互动，他们也会希望参与其中。

采用“是的，还有…”的方法

一旦安全建立了合作基础，调整部门处理新技术和项目请求的方式就显得尤为重要。这要求在可能的情况下，使用“是的，还有…”来回应，而不是“No”。

任何了解即兴表演的人都知道“是的，还有…”的价值——这是先同意某人，然后增加其他角度。对于安全而言，这意味着认可请求的工具或集成所能提供的价值，识别可能的风险，确定是否能够通过“是的”——可能附带一些条件或考量——来帮助公司减轻风险。

例如，一种新HR软件的请求可能减少一些人工流程，但对于数据管理却存在担忧。在这种情况下，安全团队可能会批准使用该软件，但要求关闭某些功能。如果公司达到了期望的利益，这对每个相关人员来说都是积极