为什么维护网络安全需要成为每个人的职责 — 通过 4 步开始转变

各公司每年在网络安全预算上投入的资金都在增加 — 在 2021 年，网络安全预算总额超过了 2,620 亿美元，而这一数字在大约 20 年前只有 35 亿美元。然而，每年的攻击、入侵和损失仍在继续增加。采用一成不变的策略，却期望得到不同的结果，这并不是管理网络安全风险的明智之举。 

当然，有些安全策略在减少攻击造成的影响方面仍然十分重要，因为它们界定了可接受的风险水平，使用责任保险转移了部分风险，并且减轻了风险带来的损害。但是，业务领导者需要重新思考所在组织的战略。企业安全至关重要，不能像多年来那样只由少数几位专家负责。企业安全需要融入企业中每个人的工作当中。 

为了有助于将网络风险管理纳入更好的轨道，CISO 应仔细考虑以下四种策略。

1. 实现网络安全风险规范化，刻不容缓

首先，组织必须改变对网络风险的思考方式。传统上，网络攻击被视为一种独特的外源性威胁，与企业其他方面的风险管理是脱钩的。这一点需要改变。 

网络风险是业务风险。每个公司都需要将其纳入自己的风险管理框架，并通过财务和运营风险建模中使用的一些方法加以管理。如果 CFO 和 COO 晚上都能睡个好觉，那么他们的首席安全官也应该如此。

在许多方面，网络安全并不是技术问题，而是组织问题。对于企业来说，安全流程应该与员工入职或设计卓越客户体验的流程一样重要。与其他所有必要的业务职能一样，对安全流程也要作同样的考虑，包括配置相应的资金和员工人数。 

此外，安全措施还需要更加积极主动，而不是一味地被动应对。就像一个公司不会等到产品推出后才招聘销售人员一样，它也不应该等到发生重大事件后才为网络安全团队提供资金和落实正确的流程。

组织将需要不断面对严重的入侵行为，这是一个既定事实；更重要的问题是，他们是否采取了合理的措施来预防入侵，他们应对入侵的方式又有多高的效力。 

2. 首先关注人员和流程，技术次之 — 这是正确的顺序

接下来，CISO 需要重新考虑应将资源集中在哪里。他们的预算应该遵循一组明确定义的优先事项，而且在大多数情况下，技术不应排在首位。第一要务是人员，这意味着在员工培训方面加大投入，让他们掌握适当的网络安全卫生知识，对团队进行指导和技能再培训，以及加强安全文化建设。

第二个支出优先事项应该是内部流程。例如，该组织是否对发生勒索软件攻击时的应对措施进行了缜密的演练？内部和外部通信、运营连续性计划，以及如何（或是否）与攻击者接触，都应在危机来袭之前做好计划。

第三，只有在关于人员和流程的最紧迫问题得到解决之后，CISO 才应该考虑对技术工具的投资，以帮助减少和管理威胁。 

3. 多些奖励，少些惩罚

根据斯坦福大学研究人员最近的一项研究，10 次数据泄露中有近 9 次是人为错误导致的。尽管各大公司每年在安全意识培训上花费超过 10 亿美元，但这种情况不太可能改变。公司需要找到新的方法来奖励优秀的安全做法。

例如，因为安全失误而羞辱员工并不会让他们更加警惕。通常情况下，这只会将他们吓得默不作声，而更不可能积极地反馈问题。或者，他们可能会试图自己解决问题，却在不知不觉中让问题变得更糟。如果他们在一个严格监管的行业工作，这可能会受到制裁。

相反，组织需要培养一种开放的安全文化，鼓励员工提出问题并发出警告。一些公司会发送模拟的网络钓鱼攻击，并对成功识别这些攻击的员工予以充值卡和其他福利的奖励。还有一些公司会公开表彰那些通过规定安全培训的员工。几乎任何形式的正面认可都是朝着正确方向迈出的积极一步。

4. 让安全工具更容易使用

公司花费在安全技术上的数十亿美元中，有很大一部分都花在了从未被使用的搁置软件上。在许多情况下，这些都是比较复杂的工具，需要由懂得具体用法的专家来操控，而这样的人非常缺乏。根据信息系统安全协会 (ISSA) 和行业分析公司 Enterprise Strategy Group (ESG) 的说法，安全劳动力短缺问题不会很快消失，安全技术必须变得更易于使用。

工具变得简单易用，不仅可以让 CISO 雇用更多的人来负责基本的安全职能，还能让员工接触到更多具有不同背景和技术专长的多元化人才。此外，工程师还需要花更多时间提供易于理解的仪表板，让高级管理人员和其他不太懂技术的人员了解当前的风险状态。

我所在的公司 Elastic 提供免费和开放的技术堆栈，其中一个原因就是为了鼓励和支持一个充满活力的贡献者社区。我们还坚信，向更广泛的开发者开放产品会使产品变得更安全。

企业安全职能不能一直只由专家团队来负责。安全必须成为每个人的责任。这样做有助于公司摆脱完全被动应对危机的局面，而是采取一种新的模式，像管理其他风险一样高效地管理网络安全。

Nate Fick 是 Elastic 的安全总经理。