语言 Chinese, Simplified

SEO Title

6 ways to develop a security culture from top to bottom

由于我们对技术和安全的现代依赖，没有人愿意做出这样的陈述。每个人都知道安全性至关重要，以及如何将安全性嵌入到组织所做的每件事情中。只需简单地浏览一下新闻，即可详细了解与应用程序安全漏洞相关的数据泄露事件。漫步到信息安全部门，您将听到员工最近因导致数据丢失而犯的错误。安全性是普遍的和主流的，但安全文化并没有跟上威胁的前景。

蒂姆·费里斯（Tim Ferriss）将他对文化的定义分享为“当人们被置于自己的设备上时会发生什么。”如果我们将“安全性”注入到该定义中，这适用于安全文化：安全文化就是人们被留给他们时的安全性自己的设备。在面对是否点击链接时，他们是否做出了正确的选择？他们是否知道必须执行哪些步骤以确保新产品或产品在发货前是安全的？

建立健康的安全文化

组织的安全文化需要关心和喂养。它不是以有机方式积极发展的东西。你必须投资于安全文化。可持续的安全文化不仅仅是一个单一的事件。当安全文化可持续发展时，它将安全性从一次性事件转变为永久产生安全回报的生命周期。

可持续的安全文化有四个明确的特征。首先，它是蓄意和破坏性的。安全文化的主要目标是促进变革和提高安全性，因此必须对组织造成破坏，并采取一系列行动来促进变革。其次，它既有趣又有趣。人们希望参与一种既愉快又充满挑战的安全文化。第三，它是有益的。为了让人们投入时间和精力，他们需要了解他们将获得的回报。第四，它提供了投资回报。任何人都做安全的原因是改善产品和降低漏洞;我们必须回报投入的多倍努力。

强大的安全文化不仅与日常流程相互作用，而且还定义了安全性如何影响组织为其他人提供的事物。这些产品可能是产品，服务或解决方案，但它们必须具有适用于所有零件的安全性。可持续的安全文化是持久的。这不是一年一次的活动，而是嵌入您所做的一切事情中。

为什么组织需要安全文化？主要答案是我们都知道的内心深处。在任何系统中，人类总是最弱的泄漏。安全文化主要面向人类，而不是计算机。计算机正是我们告诉他们要做的。挑战在于人类，他们点击他们在电子邮件中收到的东西并相信任何人告诉他们的东西。人类需要一个框架来理解什么是正确的安全性。一般而言，组织内的人都想做正确的事 - 他们只需要被教导。

幸运的是，无论一个组织在安全文化范围内如何，都可以采取一些措施来改善文化。

1.灌输安全属于每个人的概念

许多组织认为安全部门负责安全。可持续的安全文化要求组织中的每个人都参与进来。每个人都必须感觉自己像个安全人员。这是每个人的安全文化。安全属于每个人，从执行人员到游说大使。每个人都拥有公司的安全解决方案和安全文化。

优步安全项目经理萨曼莎戴维森说：“在优步，我们正试图改变员工的安全故事。通过创建迎合地区，部门和角色的计划，我们的员工了解安全是他们的故事和我们的文化的一部分。“这是一个真正相信安全属于每个人并将安全性融入他们所做的一切的公司的一个例子。

通过将最高级别的安全性融入您的愿景和使命，您可以实现这种“全方位”的心态。人们期待这些事情，以了解他们应该关注什么。更新您的愿景或组织目标，以清楚地表明安全性是不可协商的。谈谈最高层安全的重要性。这并不仅仅意味着拥有头衔（CISO，CSO）安全的人，而且也包括其他C级高管一直到个人经理。

2.注重意识及其他方面

安全意识是教导整个团队安全基础课程的过程。在让用户了解威胁深度之前，您必须设置每个人判断威胁的能力。由于用于提供安全意识的机制，安全意识已经变得糟糕。海报和亲自评论可能很无聊，但不一定非常。在您的意识工作中添加一些创造力。

除了一般意识之外，还需要应用程序安全知识。应用程序安全意识适用于组织内的开发人员和测试人员。在您的组织中，他们可能坐在IT中，或者他们可能是工程职能部门。 AppSec意识正在教授员工在构建安全产品和服务时需要了解的更高级课程。

意识是一项持续的活动，所以永远不要放弃一场好的危机。糟糕的事情将发生在您的组织中，并且很多时候它们将直接与安全问题联系在一起。通过这些受教育的时刻发展您的安全文化。不要试图将它们隐藏在地毯下，而是将它们作为团队如何变得更好的一个例子。

意识之前的问责制是疯狂的。人们希望做正确的事情，所以通过意识计划向他们展示，然后让他们对获得知识后做出的决定负责。

3.如果您没有安全的开发生命周期，请立即获取

安全开发生命周期（SDL）是可持续安全文化的基础。 SDL是您的组织同意为每个软件或系统版本执行的过程和活动。它包括安全要求，威胁建模和安全测试活动。 SDL回答了您的安全文化。这是可持续的安全文化。

各个行业的客户都开始要求组织拥有SDL并遵循它的疯狂想法。如果您此时没有SDL，Microsoft已免费发布有关其SDL的大部分详细信息。许多行业SDL程序的历史可追溯到Microsoft程序。

SDL生活的合理位置在产品安全办公室内。如果您没有产品安全办公室，请认真考虑投资一个。该办公室位于工程中，提供中央资源来部署您的安全文化。虽然我们不希望整个组织将安全性转移到产品安全办公室，但可以将此办公室视为向工程师讲授安全深度的咨询。

4.奖励并认可那些为安全做正确事情的人

寻找庆祝成功的机会。当有人通过强制性安全意识计划并成功完成时，给他们一个高五或更重要的东西。 100美元的简单现金奖励是人们的巨大动力，并将使他们记住提供资金的安全课程。他们还会很快告诉五名同事，他们收到了用于学习的现金，而这五名员工将迅速加入培训。如果你对每位员工赠送100美元的想法感到不寒而栗，那就不要再这么便宜并且要花费成本。防止单一数据泄露的投资回报大大超过了花费的100美元。

奖励的另一方面是安全进步。为团队成员提供机会，通过晋升发展成为专门的安全角色。使安全成为您组织内的职业选择。把钱放在嘴边。如果你说安全很重要，那就通过为那些对安全充满热情的人提供增长潜力来证明这一点。

最后一步是提供获得高级安全学位的机会。许多大学现在提供网络安全硕士学位。如果您在附近找不到一个，请创建自己的。在我之前的工作中，我曾与加利福尼亚的一所大学合作，量身定制一个支持公司安全文化的学位课程。再一次，把钱放在嘴边，赞助第一批学生。它向整个组织发送积极的信息。

5.建立安全社区

安全社区是可持续安全文化的支柱。社区提供整个组织内人员之间的联系。安全社区协助将每个人聚集在一起解决共同问题，并消除“我们与他们”的心态。

通过了解组织内的不同安全利益水平来实现安全社区：倡导者，安全意识和赞助者。安全倡导者是那些对事物安全有着至高无上的热情的人。这些是您所在社区的领导者。安全意识并不那么热情，但意识到他们需要为提高安全性做出贡献。赞助商是来自管理层的人，他们帮助塑造安全方向。将所有这些人聚集在一起，成为一个专注于安全的特殊兴趣小组。

安全社区可以表现为一对一辅导，每周或每月会议，以讨论最新的安全问题。它甚至可以成为一个年度会议，组织中最优秀和最聪明的人有机会在大舞台上分享他们的知识和技能。

6.让安全变得有趣和吸引人

最后，但同样重要的是，很有趣。很长时间以来，人们都将安全与枯燥的训练联系在一起，或者有人一直说不。巩固可持续发展的安全文化，建立所有流程部分的乐趣和参与。如果您有特定的安全培训，请确保它不是PowerPoint演示文稿的无聊声音。如果您通过活动与社区互动，请不要害怕笑一笑。在我以前的角色中，在每个月度安全社区活动中，我们每个月开始一次安全游戏，其中包含不同安全类别的游戏。我们一个月在电影中做了黑客，在另一个月做了安全新闻。这只是如何为这个过程带来乐趣和参与的一个例子。

优步的戴维森提供：