企业安全策略制定和实施的社会基础

DoSECU 安全分析 3月13日消息:企业现有的安全方针都是按照企业的正常运行来制定的,用来保障企业实体资产的安全。为了确保这些方针的有效实施,安全专业人员首先必须考虑安全方针的社会基础,包括文化和影响员工安全行为和认知的传承变化。执行安全方针要遵循讨论-创造-传达三步走的流程,这样才能保证安全方针的成功构建,考虑到地理位置,文化和传承因素的同时,还要确保贯穿整个企业的认知和理解。

最近由思科发布的一份名为全球数据泄露对安全协议有效性的影响的白皮书阐述了在最终用户认知与IT专业人员之间对安全方针的存在,关联,更新和沟通等方面的显著差异。如果企业想掌握他们的市场动态,就应该进行内部市场调查来确认内部员工个人的特点。

为了保护企业内部员工,首先有必要回答以下几个根本性问题:

–企业的目标是什么?

–谁将为企业的成功负责?

–方针对企业中的那些人员影响最大?

–你想保护的是谁和什么职责?

–社会差异是什么?

–文化差异是什么?

–地理差异是什么?

–传承性差异是什么?

–职责差异是什么?

因此让我们来关注这些企业可能面临的挑战。在某个地理区域内,一项针对特定人群制定的方针如果在别的地方没有做出因地制宜的调整,可能就无法发挥作用。毕竟文化的差异会影响到沟通的类型和方法。举例来说,在亚洲地区针对高端技术人员传达的讯息可能对于美国境内的非技术员工就无法取得预想的成功。对于习惯不同沟通类型的人群,如果把他们放在其他地方确实是一种风险。

从传承性上来说,我们如何应对通过公开社会媒体和其他合作工具来进行合作和互联的员工?确实,这是一项空前的挑战。

成功的关键在于将责任感从一开始就灌输给那些能帮助企业成功的员工。采取措施来协助那些认为没有秘密的员工,帮助他们领会为什么他们个人的职业生涯取决于对企业知识产权和基础架构的保护。事实上沟通就有秘密。一旦员工了解到他们有责任保护企业,安全专业人士与其他普通员工之间的差异不仅会缩小,甚至会消失。通过这个流程,企业将明白安全是未雨绸缪的过程,而不是事后弥补的缺口。

通常情况下,安全方针的制定都会滞后于风险的事先管理。不幸的是,许多方针没有经过任何对企业需求的讨论就匆匆出炉。当面临挑战时,一个IT部门就希望能自动实现保护。安全经理经常会要求下属遵循安全方针,即使他们根本不了解为什么要这么做;有时原因很简单,因为经理要求你这么做–服从。

针对已有的流程制定安全方针就好像修补衣服上的破洞。这个补丁也许会有效,但是如果应用不当,它也会留下显而易见的缺陷。

企业内部在进行战略讨论时就必须将制定安全方针所需的前端投资和强制规定考虑在内。这种战略影响提升了安全方针在企业中的重视程度。用这种方式创建的安全方针是企业部门每个成员能够用到的工具,他们可以使用这个方针与安全协议保持一致。

因此如何激发你的员工,保证协议的上行下效?从全局角度去考虑,而不是只从本地出发。你可能有全球员工信息传达工具,但是你必须对这些信息量体裁衣,理解其中蕴含的文化,语言和其他社会因素。

现在让我们探讨一下现有的安全方针。首先,回顾这些方针对企业部门的影响来确保他们没有妨碍或压制企业发展的方向。在讨论之前必须执行这种方针回顾,因为它能为方针的有效执行提供一些可测算的参考。然后重新调整安全方针来符合实际业务目标和需求的现实情况。

最后的关键是保证你的员工理解制定方针的初衷和他们对方针的参与性。任何安全方针的审时度势都将提高方针的适用性和减少方针设计上的风险。

理想状态是安全专业人员将最寻讨论-创建-传达这三步走的流程。每个步骤都是对地理,文化和传承差异性理解的反馈,但是在某种意义上方针的制定也必须确保这几方面的认同,理解和适应性。