转变网络安全文化是成功实施安全计划的基础。 当所有员工都了解安全性为何如此重要以及它如何为业务增加价值时,就会加速在整个组织中构建和集成安全性。 此外,为高风险团队配备安全专业知识、培训和发展,使公司能够将人才放置在业务最需要价值保护的领域。
根据麦肯锡最近的研究,了解最佳实践计划可以帮助其他组织深入了解实施哪些杠杆以及如何转变其文化,将网络视为推动者而不是控制者。 这次采访提供了一个例子,说明一家公司如何实施更广泛的网络意识计划,从而快速扩展一线网络知识并解决关键的内部安全漏洞。
在网络安全威胁不断演变的时期,开发数据平台公司 MongoDB 开发了一项安全冠军计划,以帮助确保其员工将安全作为首要任务。
麦肯锡最近接待了来自 MongoDB 的网络安全领导者,进行了一次虚拟对话,讨论如何采取日常的、每位员工的方法来保护他们的组织。 麦肯锡的 James Kaplan 和 Charlie Lewis 采访了 MongoDB 的首席信息安全官 Lena Smart; Amy Berman,安全工程总监; Felix Chen,网络安全教育和宣传高级分析师。 以下是他们谈话的编辑版本。
麦肯锡:MongoDB 的安全冠军计划是什么?
Lena Smart:这是我们在 2021 年 2 月疫情期间重新启动的一个项目。 我们看到了组织各个部门提高安全意识的愿望和需求。 我们希望创造一种积极的安全文化。 目前,该计划中有来自全球 45 个不同地点的 100 多名安全拥护者。
我们已经举办了 20 多场活动,让这些人聚集在一起做不同的事情,例如夺旗和场景规划,以及团队建设活动,包括观看有关黑客、技术和网络安全的电影和电视节目。 我们的安全冠军计划非常成功,并且还在继续发展。 我们相信它也包含我们所有的文化价值观。
Felix Chen:补充一下 Lena 的评论,我们的计划中还有一个多元化的团队,从最有经验的网络安全专业人士到新手。 参加我们活动的参与者做好了学习和参与的准备。 例如,我们可能会在彩虹表上为更高级的成员举办密码破解会议,而安全手册讨论可能更适合中级成员。
艾米·伯曼:我们项目的背景多元化,超越经验,确保了广泛的想法、创新和参与。
麦肯锡:您的安全冠军计划在多大程度上关注工程师和其他技术人员而不是非工程师?
Lena Smart:我们试图尽可能向公司中的任何人开放,从行政助理到编程和开发工程师。 我们有完全没有网络安全经验的员工,约占 10%,还有自称专家的员工,约占 20%。 其余的则介于两者之间。 我们发现不同级别的专业知识之间存在大量协作。 这正在创造一种以安全为先的文化。 冠军基本上是他们团队安全的代言人。
我们继续开展活动来发展该计划,包括竞赛,例如赢得网络安全会议和 DEF CON [黑客会议] 等活动的门票。
我们的目标是让 10% 的员工参与安全冠军计划,但最终,每个人都是安全冠军,对公司的安全负责。 但我们的项目参与者刚刚更进一步,并发誓每周都会给我们一定的时间。 他们重视从该计划中获得的收益,同时帮助我们发展该计划。
我们还通过馈送或培训方法使用该计划——我们有七名参与者,他们现在已进入安全和合规团队。 在很难找到熟练人才的时代,这非常有用。
麦肯锡:由于它与员工保留相关,因此该计划的选择流程是什么?您如何培训参与者成为第一响应者?
Lena Smart:这是一个自愿计划,但有时我会走近某人并说:“嘿,你来找我,提出了一个关于安全的好主意; 您是我们安全冠军计划的成员吗?”
艾米·伯曼:当我们重新设计该计划时,我们研究了动机理论和成人学习理论,并问道:“我们如何真正使其成为一个长期、可持续的计划,并在多个不同角度持续保持兴趣?” 每个季度我们都会召开一次正式会议,以寻求持续项目改进的见解和反馈。 我们进行更改以保持计划的新鲜度和相关性,以应对不断变化的网络威胁。
麦肯锡:项目参与者的时间承诺是多少?
Felix Chen:根据兴趣程度不同,但一般是每周几个小时。 参与者基本上是某些安全相关工具的初始数据测试人员。 除了我们的反馈循环之外,我们还维护专用的沟通渠道,计划参与者可以在其中披露其团队内的潜在漏洞。
没有一种放之四海而皆准的入职或培训方法。 我们在不同地点针对不同主题开展这些活动; 它旨在鼓励指出安全缺陷或漏洞并向安全团队提供反馈的行为。
麦肯锡:您的安全冠军计划是如何获得领导层支持的?
Lena Smart:我们每周与执行管理团队举行电子员工会议。 我们概述了该计划的使命以及它如何与我们公司的使命和价值观保持一致。 我们讨论了将其添加到人员绩效和成长中。 接下来的一周,我们的首席执行官在全体会议上介绍了该计划,不久之后,我们就开始接受计划志愿者。 我们还制定了与外部利益相关者共享的方案开发和实施手册。
麦肯锡:您认为有人是特别有效的安全拥护者吗?
Amy Berman:每个参与者都有独特的见解,并且每个人都从不同的角度看待潜在的漏洞。 你从技术方面听到了很多,但我认为一些非技术方面对于信息传递、新政策定位等方面非常有帮助。
Lena Smart:我认为人们有时会忘记行政助理 [EA] 可以访问他或她的老板可以访问的所有内容。 因此,如果我是一名黑客,我会寻找一名行政助理。 我们确保为他们提供作为 EA 的专门培训,但我们也鼓励他们成为安全冠军计划的一部分,因此我们通过个人培训、作为 EA 的团体培训或作为安全冠军的整体培训来覆盖他们。 他们很享受这样; 这与他们的日常工作不同。 仅仅成为安全冠军计划的一部分,就可以让他们了解一个他们不属于的世界,这确实很有帮助。
麦肯锡:MongoDB 如何管理与网络安全相关的人员风险?
Felix Chen:人为风险对于公司来说是一个非常大的漏洞,而且通常是网络漏洞的起点。 这是找出影响行为改变的最有效方法的问题。
Amy Berman:团队成员可以运用他们的经验,测试和重新构想网络安全的样子以及它如何适应我们的文化。 这是一个关注不同观点,然后聚集在一起思考文化变革和组织变革的问题。
麦肯锡:您如何衡量成功?
Felix Chen:我们测试不同措施的成功程度,并确定在哪些方面进行调整。 我们会关注一段时间内的趋势,例如,在我们的网络钓鱼模拟活动中,我们会查看有多少人点击了网络钓鱼链接。 我们会查看活动出席情况和报告的漏洞。 而且,重要的是,我们与领导层沟通我们的进展。
麦肯锡:您从安全冠军计划中学到了哪些经验教训?
Lena Smart:支持至关重要。 人们需要能够管理他们的团队,如果他们在不是安全专业人员的情况下却充当安全专业人员,那就不好了。 让这种自愿、有趣和协作的方式很重要。
麦肯锡:您对考虑此类计划的其他公司有何建议?
Lena Smart:我最关心的四件事是获得高层的支持,确保持续的沟通和进度报告——我们通过定期的“尾门”会议来做到这一点——制定一个剧本来设定程序和流程,并展示项目的价值 全公司范围内的计划。
麦肯锡:一年后您希望在哪里看到该计划?
Lena Smart:我们希望会员数量增加一倍,并为更多员工提供学习网络安全的机会。 同样,我们也遇到过这样的情况:一位不以安全为中心的员工加入了我们的计划,这激发了人们对网络安全的进一步兴趣和专业发展,从而在 MongoDB 中开辟了新的就业机会。
艾米·伯曼:另一件重要的事情是我们对冠军的尊重。 你必须创造一个环境,让他们愿意来找我们,并且我们对他们提供的反馈持开放态度。 重要的是,要有一定程度的尊重,不仅来自我们运行该计划的人,还来自整个信息安全团队对冠军的尊重。
Felix Chen:同样重要的是参与和采用之间的相关性。 如果计划和参与者的输入和反馈推动了该工具的采用,那就是一个很大的优势。 我们要求他们提供简单的意见。 即使这是我们不同意的事情,我们提出的要求也会产生一种包容和贡献的感觉。
