从Cisco管理 看如何建立企业安全文化

企业如果想真正的保护IT系统安全的话,就必须让安全成为企业文化中或缺的有机组成部分。

安全不是放之四海而皆准的邦迪牌创可贴。一个致力于保护自己网络安全的企业,一定会将安全植根与企业的各个方面之中–包括员工的安全意识。

构建企业安全文化的第一步要明确安全是至上而下的,管理层首先必须引起重视。譬如说在思科公司,企业的首席执行官John Chambers必须遵循公司的领导企业的各项安全并且应该在执行安全方面做出表率作用。

首要准则

对于企业各个部门来说,安全是一个相当重要的问题,应该由一个专门的委员会掌管。为了保证企业安全措施得以有效的贯彻执行,应该有专人负责安全问题。

许多知名企业,包括思科、通用、亚马逊网上商城都有专门的首席安全官或是首席安全信息官,他们的主要任务就是保证在企业的内部各个分支的网络不留下任何漏洞给黑客以可乘之机。

培训和谈话

安全培训计划对于构建并保持企业的安全是至关重要的。培训材料的形式应该多样化,包括小册子,通讯,电子邮件和小型的论坛,网站信息发布和多媒体资料。那些致力于普及安全文化的企业会在内部使用各种各样的方法。使用形式多样的教育手段会让员工无时不刻不在接受一种安全教育。

构建方便快捷的安全信息获取渠道。Starbucks公司就专门构建了电子阅览室帮助员工了解如何保护公司的系统和数据安全。公司鼓励员工使用这一系统查找关于电子邮件和数据加密等等安全问题。

通讯也是构建企业安全文化的一个重要工具。最重要的是让员工意识到安全关乎他们的切身利益。没有人会因为因为仅仅是公司政策要求就去认真执行相关规定。企业的管理层应该让他们明白会什么要采取相关的安全措施,回答员工的疑问,还有在执行和升级企业安全策略的时候寻求员工的支持。

好的通讯还意味着有针对性的安全信息。尽管一些安全指导和警告在整个企业范围内应用,但是一些部门总会有特殊的情况–譬如说出差在外的员工如何保护笔记本的安全。在公司的BBS上标上醒目的标语对于加强企业的安全文化书大有裨益的。又譬如在思科公司,员工争相成为"保持思科安全"和"安全支持者"的一份子。

要形成安全使用计算机的管理制度,有必要建立一个奖励和认可机制。又是在思科,对企业安全做出重要贡献的员工,公司会给与一个牌匾和相应的物质奖励。对于做出一定贡献的员工会奖励一件"Security Champion(安全支持者)"的T恤衫。所有获奖的员工都会在开会时得到公开的表彰。

保持弹性

为了安装新的技术和应对新的安全风险,企业安全文化必须具有相应的弹性。安全政策的制定须与日新月异的威胁相适应从而保证安全不至于拖了企业的后腿。此外,要充分发挥员工的积极性和主动行,为公司的安全出谋划策。

做到以上各点,你会发现你的企业已经形成了一个良好的安全文化。