在您的公司中建立面向安全的文化的四个步骤（第2部分，共2部分）

时间：2020-11-09 16:04:24来源：

既然您已掌握了噩梦般的场景，并且了解了在整个投资公司中树立安全文化的重要性，那么以下四个步骤将指导您逐步建立这种文化。

1.建立计算机事件响应团队

首先创建一个“计算机事件响应团队”，该团队将监督您的信息安全策略。尽管IT专业人员负责监督和维护您的计算基础结构，但是您还需要业务用户在您的安全计划中扮演中心角色。毕竟，他们是使用这些资源的人，并且可以代表最大的漏洞和风险。尽管团队的职责可能有所不同，但许多CIRT都活跃在几个关键领域：

制定计划–该团队应制定信息安全计划，并与各个部门的同行紧密合作以实施和维护该计划。制定培训计划–使公司的安全计划和政策投入运营。对事件的响应–业务用户可以添加宝贵的见解，评估违规的业务影响，确定必须通知谁等等。与同行进行交流– CIRT团队成员向同事宣传，并使安全放在首位。它们还帮助同事自我评估安全风险并鼓励不断的警觉。

2.定义您的条款

机密信息

在确保您的机密信息安全之前，重要的是要准确定义您的意思-确保组织中的每个人在字面上和形象上都在同一页面上。

许多公司创建了一个10或20页的书面信息安全计划，该计划将用于管理机密信息和计算服务的创建，访问和删除的定义和策略形式化。包括个人识别信息（PII）的定义，用户访问权限和角色的描述或有关USB拇指驱动器的策略，这些都可以作为一切。重要的是，您已经明确，明确地记录了公司处于风险中的资产和服务的各个方面。多学科的跨职能团队通常在这些工作中表现最佳。

技术保障和回应

从业务角度来看，CIRT团队可以帮助IT部门制定应有的技术限制-从移动设备的加密到锁屏策略，USB使用，防病毒扫描，垃圾邮件过滤，密码策略，渗透测试，审核，以及更多。这些是技术专家不应完全掌握的问题。

如果发生违规，您的CIRT可以在评估事件的影响后管理并促进所需的响应。这可以包括与内部利益相关者合作，并根据法律要求通知监管机构和政府官员。您的业务人员（而不是IT团队）知道这些数据的价值，因此他们最适合定义响应。

3.提供全面的培训

如果适当的安全措施无法在整个组织中快速统一地传播，那么所有文档，委员会和会议都不会产生任何有意义的影响。而开始发生的方式是通过系统和全面的培训实践。

面对面–面对面，由讲师指导的动手培训是灌输安全文化的最佳方法。不需要（也不应该）强调很多技术方面的细节。相反，应专注于业务用户需要知道哪些内容以保持IT资源的安全和受保护。视频刷新器–当员工有快速问题或不适合面对面交流时，点播视频课程可以填补重要空白。尽早开始–将安全培训纳入您的入职流程–并要求员工在雇用日期之前就开始培训。确保新员工从第一天起就认识到自己的职责。持续前进–意识不会随着培训而停止。关于数据安全的定期新闻通讯是一个不错的策略。高层管理人员的定期提醒也可以增强您的安全意识。更新您的团队有关新出现的威胁策略和来源的信息。

4.记住内部文化在外部传播

即使您已经锁定了内部系统，实施了最佳实践策略和程序，并培训了员工以“安全第一”的思维方式，仍需要做更多的工作以文化为导向。

评估第三方风险–也许安全链中最薄弱的一环是您对（或没有）控制力：合作伙伴的绩效。您是否分析了战略业务合作伙伴的安全实践？您可以外包，但不能外包安全责任。监管风险–遵循正确的安全做法，将使您能够从行业和政府监管机构进行彻底审核。您在公司内部所做的事情将极大地影响您的外部声誉。个人电子邮件–即使您的员工使用与工作相关的电子邮件来遵循您的所有流程和惯例，但如果她的私人个人电子邮件遭到破坏或损坏，您仍然很容易受到攻击。这可能会无意中打开您的网络环境的后门。这意味着对安全的警惕必须从专业领域扩展到个人领域。

结论

当然，对于任何对冲基金或私募股权公司而言，拥有适当的外围防御措施和严格的安全控制是不可谈判的要求。但是，企业IT安全中的新前沿不是技术而是人。通过发展内部安全文化，组织所做的工作远远不止于部署和配置位和字节。它致力于定义和遵循深思熟虑，范围广泛的策略，以消除不必要的内部漏洞，这些漏洞通常不会被人们所认识。

从经过适当培训和人员配备的计算机事件响应团队到精心定义的策略和过程以完成培训，金融服务公司可以采取简单但重要的步骤来防止违规，增强安全性，改善法规遵从性并增强客户信心。