你可能听过这句谚语, “疯狂是一遍又一遍地做同样的事情,却期待不同的结果.”1 经常被误认为是阿尔伯特·爱因斯坦或其他天才, 它起源于1981年的《澳门赌场官方软件》小册子. 如何恰当地, 因为今天的大多数网络安全项目都依赖于20世纪80年代和90年代初开发的概念. 用一句20世纪80年代的话来说,“你得有妄想症”才会相信20th 世纪的网络安全方法在今天的21世纪仍然有效st 世纪超融合网络环境!
可悲的是, 许多组织继续实践他们自己的特殊版本的网络疯狂, 大量投资于过时技术的改进版本,然后纳闷为什么它们继续成为网络攻击和事件的受害者.
网络安全是一门大生意, 一些智库估计,2018年网络安全支出将增长近10%,达到近1000亿美元. 公共和私营部门在杀毒软件上的支出, 虚拟专用网(vpn), 入侵检测, 在对数据泄露的担忧中,用于保护数据的监控和其他传统网络安全技术继续增加, ransomware, 以及来自网络罪犯和民族国家行动者的攻击. 这些增长表明,董事会和高级管理人员认识到有必要投资于更好地保护推动当今国家繁荣和国家安全的信息, 甚至全球经济增长, 然而,正是这些领导人正变得越来越沮丧. 许多人在购买网络安全工具时都表达了这一点, 有人会认为他们的组织会比他们实际做得更好. 公平地说, 许多组织已经改进了, 但我认为,我们的表现不佳,应该以更低的成本做得更好,以保护我们的信息, 我们的知识产权, 我们的品牌和声誉, 我们的竞争优势.
许多董事会和高管都向我寻求帮助. 他们想要降低网络风险, 虽然大多数人表示遭受“网络消费疲劳”,“只要能获得良好的回报,他们就不会羞于投入更多资源. 几乎我合作过的每个组织都像激光一样专注于通过购买另一种工具或技术来解决他们的“网络安全问题”. 只关注技术来解决问题让我想起了美国空军所说的“固定目标”,你太专注于一件事,而没有意识到你周围的威胁, 导致坠机或被击落. 网络安全涉及人, 工艺与技术, 然而,太多的实践者专注于技术而忽略了人和过程. 为了阻止这种疯狂, 我们需要考虑的不仅仅是在另一个工具上花钱,而是首先投资建立一种平衡人员的网络安全文化, 提高我们管理网络风险能力的流程和技术.
没有有效的网络安全文化,你的组织正在打一场必败之战. 古斯塔沃·格罗德尼茨基博士.D., 通过集中精力支持我们所追求的行为和表现, 我们将发展我们想要的文化.2 说到网络安全,我同意Dr. 格罗德尼茨基:“文化胜过一切!”
当我还是美国政府的首席信息安全官(CISO)时, 一位美国国会议员问我,我会如何再花一美元来改善网络安全. 我告诉他,我会用这笔钱来改善我们的网络安全文化.
我认为我们的政策是充分的,但执行不力. 例如, 爱德华·斯诺登违反政策,“借用”了一些同行的美国国家安全局(NSA)管理员证书, 导致他窃取了高度机密的信息. 尽管政策要求进行多因素身份验证和访问管理,但美国人事管理办公室(OPM)还是受到了使用泄露用户名和密码凭证的不法分子的攻击. 类似的例子在私营部门比比皆是, 比如不法分子利用未修补的已知漏洞入侵Equifax. 最好的政策, 如果没有健康的网络安全文化,组织中的每个人都有扎实的理解,工具和技术就毫无价值, 接受和运用他们在保护信息方面的角色.
最近, ISACA和CMMI研究所调查了其成员和客户认为其组织在发展和采用网络安全文化方面取得进展的程度. 2018年ISACA/CMMI网络安全研究文化旨在确定期望状态与当前状态之间是否存在差距,以及组织如何寻求弥合存在的差距. 在调查中,组织内部的“网络安全文化”被定义为源于一组定义好的数据处理策略的行为和习惯, 网络安全, 风险承受能力, 以及其他文化规范和实践,这些都反映了个人和整个澳门赌场官方下载. 4人以上,800名受访者分享了他们的想法, 对问题的看法和经验,这些问题涉及影响所有利益相关者的问题, 从高级管理人员到一线从业人员.
Dr. Grodnitzky的文化成分模型可以作为一个有用的结构来评估2018年ISACA/CMMI网络安全研究文化的发现,无论你在组织的哪个位置. 他的模型引用了行为规范, 习惯模式, 连通性, 信任, 语言和时间是文化的重要组成部分. 虽然你可能会把其他人附加到你的个人文化框架中, 这些都是很好的讨论起点:
- 行为规范-每个网络安全计划的基本要素. 如果你不能确定你想要澳门赌场官方软件和你的标准是什么, 你大大增加了失败的风险.
- 习惯模式-对建立稳固的文化至关重要. 习惯是知识、技能和欲望的交集.3 使某事成为习惯, 你需要知道该澳门赌场官方软件,为什么要做, 知道如何去做的技能, 以及做这件事的动机.
- 连通性-一个重要的文化组成部分,描述了一个组织的成员认为他们有归属感的状况, 所有权或澳门赌场官方下载.
- 信任-任何组织的一个重要组成部分是相信你正在处理的人或实体将以一种证明可靠性的方式行事, 响应性, 能力与个人兴趣. 在我看来,零信任安全模式是管理网络风险的最佳方式.
- 语言-对任何组织的成功都至关重要. 共享的公共语言会增加活动, 利润, 效率和网络安全, 同时培养联系和信任.
- 时间的角度-强化行为的重要文化元素. 对良好行为的奖励和对不良行为的惩罚需要迅速实施.
调查中有许多有益的金块, 其中之一强调,迫切需要停止目前追逐最新技术时尚的疯狂做法,转而专注于改善网络安全文化. 传统的网络安全理论优先考虑高层领导的支持,认为这是导致网络安全计划成功的关键因素. 虽然我同意它是一个至关重要的组成部分, 调查清楚地表明,阻碍组织实现其期望的网络安全文化的最大因素是员工的参与. 通常的怀疑是缺乏资金、目标、工具、领导力、人才等., 在决定你是否能实现你想要的网络安全文化时,所有这些都低于缺乏员工的支持.
传统的网络安全项目不断在90年代技术的翻版上投入大量资金,并期望他们的网络安全状况得到改善. 这种疯狂必须停止. 作为美国政府前高级网络操作员之一, 我了解黑客, 网络犯罪分子和民族国家行为者很容易击败传统的安全设备, 尤其是当它和粗心搭配在一起的时候, 疏忽, 漠不关心或缺乏训练的劳动力. 20世纪的网络安全方法在今天的环境中已经不够好了. 即使你不是天才也能看出,现在是时候在整个组织中首先投资建立强大的网络安全文化,并确保员工的参与. 只有这样,你才能将见多识广、积极进取的员工队伍与现代、安全的21世纪相结合st 世纪工具和架构,以更好地管理和控制网络风险. 不这样做简直是疯了.
尾注
1 毒品匿名, 世界麻醉品服务会议匿名基本文本批准表, 未发表的文学作品, 美国, 1981, 第四章, p. 11
2 Grodnitzky G.; 文化胜过一切:关于环境改变生物学方式的意外真相, 心理学, 和性能r .山蛙出版社,美国,2014
3 同前.
Gregory J. Touhill, cism, csp
是退休的美国空军准将,现任Cyxtera联邦集团总裁吗, 该公司通过遍布全球的世界级数据中心提供一系列安全基础设施解决方案,为美国联邦机构和部门提供市场领先的数据中心服务和网络安全能力, 包括华盛顿特区的6个, 美国, 市区. 在加入Cyxtera之前, 2016年,图希尔被美国总统奥巴马任命为美国首位联邦首席信息安全官, 他在哪里负责确保正确的数字安全政策, 所有美国政府机构都采用了战略和做法. 他目前担任ISACA董事会成员. 可以联系到他 http://twitter.com/cyxtera 和 http://www.linkedin.com/in/gregorytouhill/.