数字工作场所的内部网安全最佳实践

随着工作场所适应混合工作方式和BYOD安排，保护公司数据至关重要。遵循这些内部网安全最佳实践，并在您的数字工作场所中嵌入安全文化。

---

2022年9月，优步的内部网安全遭到破坏黑客攻击了一名优步员工用社会工程策略。虽然这个故事加强了对强大的内部网安全技术的需求，但它也提醒我们，黑客通常是通过人来访问系统的。

尽管正在努力确保公司系统的安全，但网络安全仍然是一个具有挑战性的领域。事实上，2022年的研究表明，网络犯罪分子可以访问93%的企业网络，这使得云安全至关重要。

如果组织希望维护数字工作场所和内部网的安全，他们不仅必须与全面的供应商合作内部网安全协议，但他们也需要主动与员工沟通安全最佳实践。最好让员工接受必要的安全协议，而不是清理不恰当、不安全的行为所造成的混乱。

什么是企业安全文化?

Security Journey的首席执行官Chris Romeo写道:

安全文化是当人们被留给自己的设备时发生的安全问题。当面对是否点击一个链接时，他们是否做出了正确的选择?他们知道必须执行哪些步骤来确保新产品或产品是安全的吗?

从上到下发展安全文化的6种方法

在安全文化中，每个员工都负责保护他们的组织。在安全文化中，员工被赋予如何防范安全问题的知识，并获得组织支持，以自信地执行此类行动。

如何为优化内部网安全构建企业文化?

正常运行的内部网安全文化的好处是显而易见的。但是，你如何达到这个目标呢?尤其是如果你现在的公司文化一点都不安全的话。要让所有团队成员都参与进来，必须采用什么样的系统和流程?

Kai Roer在他的书《构建安全文化》中指出，安全文化是由三个不同的组成部分构建的:人员、策略和技术。

这三个要素给了我们观察世界的视角。我们越了解它们的形成及其持续的相互作用，就越容易理解我们如何利用它们来建立和维护安全文化。

让我们把这三个要素分解成更实际、可操作的技巧，以构建您自己的企业和内部网安全文化。

#1内网安全和人员

当涉及到安全问题时，员工很少有恶意，但他们可能会成为黑客的攻击目标，因为他们缺乏安全意识。

因此，在保护您的组织免受协同攻击的同时，通过高级内网安全工具重要的是，你所建立的文化有助于每个人牢记公司安全，这同样至关重要。阻止个人点击鱼叉式网络钓鱼邮件中巧妙伪装的链接可能会有所不同。

从回答以下问题的评估开始:

• 同事对安全问题的意识有多强?
• 我公司的员工(包括知识员工、一线员工、远程员工和其他人，他们可能有不同的访问和知识水平)精通技术吗?
• 有什么内部计划来教育他们关于公司安全协议及其重要性?

可以理解的是，在一家充满不熟悉网络攻击预防的员工的公司中，建立安全文化可能比在IT咨询公司中要困难得多。然而，知道你从哪里开始，将帮助你确定哪些项目或计划将对你的文化产生最大的影响。

根据BJ Fogg的行为模型，任何企图促使人们改变习惯必须包括:

• 改变的动机
• 改变行为的能力
• 意识到行为改变的触发点

利用你之前的评估结果来规划你根据这些标准制定的任何培训计划。如果你的员工缺乏技术专长，那就从教育开始。如果你的同事不能理解这些措施是什么或为什么这些措施很重要，他们就不能采取适当的安全措施。这就是内部沟通-与线耦合经理沟通-在将员工与内部网安全最佳实践联系起来方面尤为重要。

另一方面，如果你的团队有技术意识，那就更多地关注对良好行为的积极强化。与组织中的高层领导协调发展识别策略奖励那些采取积极措施在工作中更有安全感的人。我们有更多的想法推动员工采用在我们的博客里。

说到人，同样值得注意的是，在任何组织中，你都会发现这样的员工:

• 热切地拥抱改变和成为更好员工的机会
• 在变化面前变得恐惧

在这些情况下，您可能会发现识别内部影响者或安全拥护者很有帮助。这些人可能会支持他们的同事，并在您的内部通信平台上传播适当的安全和威胁预防信息。

让这些员工在致力于维护内部网安全的文化中扮演公共角色。通过与内部网有影响力的人密切合作主题专家，他们的热情将有力地呼吁组织中的其他人遵守最佳实践原则。

#2内网安全策略

的认可和奖励策略上面提到的只是您在构建能够保护Intranet安全的企业文化时需要采用的策略之一。无论是从教育的角度(针对刚接触安全问题的员工)还是从合规性的角度(针对了解安全最佳实践但并不总是执行它们的员工)，拥有一系列强有力的文档化策略和过程都可以为您试图培训的人员提供支持。

你可能想要实施的一些具体政策包括:

• 内部安全措施的文件化
• 特定角色的标准操作程序(SOPs)
• 规范的认可和奖励策略(或惩罚措施，取决于组织的角度)

在最基本的层面上，您需要确保这些信息对员工是可访问和可识别的。在总部的IT办公室打印并归档政策是没有意义的。将重要策略和过程的托管集中到您的内联网软件，并确保附有清晰的标签及标签，以方便搜寻。当你的员工需要信息时，这些信息应该可以通过网络或你的移动应用程序轻易获得。

出于遵从性和听觉目的，功能如强制性的读取将使你能够跟踪读者，并提醒员工他们需要承认的重要信息。

但是，如果真正地嵌入信息，而不是让员工在不理解内容的情况下打勾呢?

你可能想要考虑的一种方法是游戏化．在一篇安全杂志伯克利研究集团(Berkeley Research Group)董事总经理兰斯·海登(Lance Hayden)举了一个朋友的例子，他曾为一家大公司管理安全意识项目。鉴于该组织在安全方面的做法不佳，她实施了一项全面的计划，利用游戏化和安全社会化，让每个员工都对自己的行为负责。

海登的股票:

随着意识项目的发展，组织中的个人在识别攻击迹象方面变得更加熟练，并且更容易向安全团队报告异常情况。结果，随着时间的推移，红队的渗透成本开始上升，因为越来越多的人发现并报告了他们，关闭了攻击途径，迫使他们寻找新的方法。

政策很重要，但不需要毫无成效。让安全变得有趣。员工对你的项目要求感到负担越少，他们就越有可能在为安全文化做出贡献方面发挥积极作用。

3 .内网安全技术

除了上述两个因素外，拥有正确的网络安全技术也是至关重要的。

你们的IT和网络安全专家将在新威胁出现时更新技术，但这是一个不断发展的图景，而不是一个永远“结束”的图景。出于这个原因，沟通人员应该保持与IT的对话，并意识到需要定期与员工沟通变化。

正如Mike Saurbaugh, IANS Research的教员，Excelsior学院的课程开发人员和独立顾问，在一篇文章中所建议的安全情报部门采访：

制定全面的安全意识计划不应被视为一个目的地，而应被视为一个过程。它需要专门的监督，并且应该持续进行，进行有参与性的练习。

持续致力于改善您的安全文化，并衡量您的变化的影响，不仅在数值指标上，而且在模式上，表明安全行为正在被员工实施和接受。