CISO基金会：建立安全意识文化-介绍Gartner PIPE框架（英）

Gartner的研究首席信息安全官基础：建立安全意识文化介绍了Gartner管框架理查德·阿迪斯科特、安德鲁·沃尔斯、威廉·坎德里克、克里斯汀·李2022年9月30日 Gartner Inc . | G00773138页面的页面117CISO 基础：建立安全意识文化：介绍 Gartner PIPE 框架已发布 2022年9月30日 - ID G00773138 - 22 分钟阅读分析师：Richard Addiscott、Andrew Walls、William Candrick、Christine Lee Initiatives： Cybersecurity Leadership人为因素是数据泄露的最突出因素，提供基于课程、以意识为中心的计划的传统方法不再有效。首席信息安全官必须超越仅仅提高“安全意识”，培养适合情境的安全文化。概述重要发现■仅侧重于提高对网络安全威胁的认识的传统方法在降低组织的网络安全风险水平方面是无效的。■提高速度和便利性（认为业务需求大于风险）以及不会对其行为产生不利影响是员工从事不安全行为的最常见原因。■组织遇到的所有数据泄露中，只有不到 20% 涉及网络钓鱼攻击。然而，测试最终用户对网络钓鱼攻击的敏感性仍然是验证安全意识计划有效性的主要方法。■表现出某些不安全行为的用户中有 93% 意识到他们的行为会增加组织的风险。 Gartner Inc . | G00773138页面的页面217建议寻求减少人类行为对其网络安全风险水平的负面影响的首席信息安全官应：■准备从根本上重塑他们的方法，以促进必要的行为改变，因为仅靠安全意识培训不足以解决人类活动造成的网络安全风险。■计划一个长期计划（多年）来改善行为，因为他们认识到人类行为和奖励某些行为的社会文化具有很高的惯性。■利用 Gartner PIPE（实践、影响、平台和推动因素）框架来指导您执行安全行为和文化计划 （SBCP），以促进和嵌入新的、更安全的实践和行为，帮助最大限度地降低可避免的网络安全风险。■使用以行为为中心、以结果为导向的指标来证明 SBCP 正在工作。战略规划设想到 2025 年，40% 的网络安全计划将部署社会行为原则（如轻推技术）来影响整个组织的安全文化，高于 2021 年的不到 5%。到 2026 年，至少有 50% 的 C 级高管将在雇佣合同中纳入与网络安全风险相关的绩效要求。介绍Gartner和行业研究表明，首席信息安全官在提高安全意识方面所做的努力无助于降低网络安全风险暴露。2022 年 Verizon 数据泄露调查报告 （DBIR） 显示，人类行为仍然是组织内部数据泄露的主要原因，82% 的数据泄露涉及人为因素。1 此外，Gartner的研究发现，在工作场所执行某些不安全操作的员工中有93%已经知道他们的行为增加了组织的风险，这进一步表明，仅靠安全意识培训对员工的工作实践几乎没有明显的影响。2 Gartner Inc . | G00773138页面的页面317Verizon DBIR还显示，所有数据泄露中只有不到20%涉及网络钓鱼和其他社会工程攻击。然而，除了培训完成率（84%）之外，网络钓鱼模拟点击率（72%）是组织试图衡量其安全意识计划有效性的最常见方式。3 虽然这些绩效指标可能有助于组织履行其网络安全合规义务，但它们在证明安全意识培训工作实际上有助于降低整体网络安全风险水平方面没有任何用处。根据与Gartner客户的数百次对话，首席信息安全官越来越认识到，如果目标是最大限度地减少明显可以避免的员工行为带来的网络安全风险，那么需要的不仅仅是提高员工的安全意识。但是，在探索当前的安全意识计划（主要是提供安全意识培训和运行网络钓鱼模拟（参见图 1））时，大多数组织将难以实现法规遵从性以外的任何目标。图 1：典型的安全意识计划组件与实现共同目标的能力 Gartner Inc . | G00773138页面的页面417作为Gartner首席信息安全官基金会系列的一部分，这项研究广泛借鉴了初步研究以及我们与大量客户打交道。它为负责修改网络安全行为的首席信息安全官提供了久经考验的指导，以帮助最大限度地减少人类活动对网络安全风险水平的影响。它提供了一种新的方法和执行框架，以培养和嵌入更安全的行为，并提高员工的安全意识。Gartner的研究提供了积极的前景，63%的首席信息安全官预计他们在“安全意识”活动方面的投资将在未来18个月内增加。4然而，Gartner警告说，仅仅花更多的钱做更多同样的事情，即使供应商提供的安全意识培训解决方案和服务不断但在很大程度上是渐进的改进，也不会产生不同的结果。如果降低网络安全风险是他们的主要目标，首席信息安全官应该设计、建立和实施一个多方面的计划，旨在培养更安全的工作实践，并帮助提高所有员工的安全意识。毫无疑问，这将需要一种比以前更复杂的方法，并且所需的变化不会在一夜之间发生，随着时间的推移，领先的首席信息安全官将看到其投资的明显价值。从这里开始，这些程序称为安全行为和文化计划或 SBCP。本研究详细介绍了用于执行成功 SBCP 的新 Gartner PIPE 框架的组件。它还为首席信息安全官提供了所需的信息，以帮助培养新的思维方式并嵌入新的行为，旨在在整个组织中激发新的、更安全的工作方式。分析Gartner PIPE 框架由八个组件组成，专为帮助首席信息安全官培养和嵌入其组织的安全意识文化而开发（见图 3）。三个核心组件（实践、影响和平台）有助于指导 SBCP 的执行，并由五个关键推动因素提供支持，这些推动因素支持首席信息安全官提供有效 SBCP 的能力。 Gartner Inc . | G00773138页面的页面517图 2：用于执行 SBCP 的 Gartner PIPE 框架下面的表 1 概述了 PIPE 框架的四个主要组件以及每个组件包含的相关元素。 Gartner Inc . | G00773138页面的页面617表1:四个主要组件的概述在附录(大表)从启用因素开始（因为它们为 SBCP 奠定了关键基础），下面介绍了 PIPE 框架组件。有关上述表 1 中列出的每个实践、影响和平台组件的更多信息，请参阅下面注释部分中的表 2、表 3 和表 4。你的SBCP的关键推动者首席信息安全官应确保以下概述的五个有利因素到位，因为它们构成了支撑结构和成功实施其 SBCP 的关键基础。正是出于这个原因，我们在其余的 PIPE 框架元素之前讨论这些。 Gartner Inc . | G00773138页面的页面717行政支持改变组织对网络安全的方法和情绪需要整个企业的努力。根据您的组织，组织不同部分所需的繁重工作量会有所不同。此过程的第一步必须包括承认现有意识计划失败的原因，以及用于衡量培训投资成功的指标如何与组织的风险管理优先事项不一致。这种对现有指标和培训活动的批评支持为安全行为和文化管理定义新的结果驱动指标。这些新指标必须与定义的业务绩效目标直接相关联，并使用其语言。赢得持续高管承诺的关键是用高管用来描述和批评自己绩效的语言传达该计划预期的结果和收益。表明该计划将降低网络钓鱼点击率或提高培训完成率不会赢得高管的心。坦率地说，这些高管对与其业务部门的关键绩效指标无关的指标几乎没有兴趣。SBCP 的业务案例应显示所取得的结果如何与高管实际关心的事情相关联，例如：■保护现有的收入来源■提高新产品的上市速度■对业务减少可以避免的成本■保护和改善品牌声誉■提高员工和客户的安全■确保有效管理上述风险 Gartner Inc . | G00773138页面的页面817迷人的视觉为SBCP的成功建立一个有吸引力的图景是另一个关键的推动因素。整个组织，从最高层到下层，都必须了解并支持SBCP的目标。通过有效地阐明该计划存在的“原因”来支持这一愿景。不会有一个“为什么”能引起所有利益相关者的共鸣，因此CISO建立一张“目的地明信片”来展示成功的关键是这样的：■提出安全企业的共同愿景，组织中的每个人都可以理解和支持，激发对积极变革的渴望。■清楚地让你的听众知道他们如何做出贡献，他们需要掌握和展示的行为，以及他们的新生活体验的外观和感觉。建立一个跨职能团队，由整个组织的代表组成，以设计和阐明 SBCP 的愿景（请参阅采取 3 个步骤来证明您的安全意识计划确实有效）。这有助于促进“中间而外”的方法，该方法将“自上而下”传达的所需战略方向与组织其他级别提出的有关如何从“自下而上”实现该目标的输入相结合。专业知识设计和实施 SBCP 需要比过去用于传统安全意识计划更广泛的专业知识和人才。首席信息安全官应与组织的其他部门（包括营销、人力资源以及学习和发展团队）合作，以获得以下领域主管专家的帮助。SBCP所需的专业知识将取决于并为SBCP部署的实践,这包括:■组织变革管理和文化变革技术■行为经济学，帮助安全团队了解为什么人们即使知道这是有风险/次优的，也会有不安全的行为■用户和员工体验以及以人为本的设计■教学设计技能，以建立高影响力，有针对性的培训干预措施，从而产生积极，可衡量的行为改变■形象和营销管理技能，以制作沟通，吸引人心和思想追求更好的安全性 Gartner Inc . | G00773138页面的页面917准备好在必要时向外部各方寻求帮助，因为安全团队甚至组织内部可能不提供此专业知识。用心执行 SBCP — 注意上下文一刀切的安全行为管理方法行不通。SBCP的意图必须是确定确保所有相关人员在某种程度上参与该计划的方法。在某些情况下，这可能只是将绩效预期调整和重新塑造到激励员工随着时间的推移根据需要调整其行为和工作实践所需的最小程度。在某些情况下，一些员工可能会受到内在或外在的激励，以至于他们通过倡导和/或不断提出新的、更安全的工作方式，成为变革的积极拥护者。有效的SBCP侧重于组织数字生态系统的获取，实施，运营和管理的各个方面，而不仅仅是用户如何与该生态系统进行交互。这包括委托数字计划的业务主管、项目经理、解决方案架构师、开发人员、业务分析师、业务技术人员和 IT 人员。所有这些人在确保组织系统安全方面都有特定的角色。因此，SBCP必须确保所有人都接受与优化组织的网络安全风险状况相一致的做法和行为。使员工能够获得、理解并应用采用所需行为和/或培养更安全的操作实践所需的知识和技能，对于 SBCP 的有效性至关重要。并非所有员工都以相同的方式获取、保留和利用信息，首席信息安全官应制定和实施各种机制来实施构成 SBCP 的计划。正如下面 PIPE 框架的影响支柱中所述，重要的是要注意各种学习风格、工作场所亚文化、团队和工作组动态以及地理位置。此外，了解员工访问和使用组织信息资产的级别只是影响 SBCP 设计和实施的一些因素。 Gartner Inc . | G00773138页面的页面1017评估结果格言“如果你不能衡量它，你就无法管理它”是 SBCP 的关键租户。能够证明 SBCP 如何交付或不交付原始业务案例中传达的预期结果和业务利益至关重要，原因有两个：1.确保企业高管持续支持实施该计划2.持续跟踪和评估 SBCP 结果驱动指标的首席信息安全官将更好地确定 SBCP 在哪些方面发挥作用，同样重要的是，在哪些方面没有达到预期的结果持续监控SBCP的影响将使CISO能够更早地纠正结果不符合业务预期的情况。利用与高级管理人员最感兴趣的绩效指标相关联的结果驱动型指标（请参阅上面的“执行支持”部分）将：■帮助最大限度地减少负面影响（例如，浪费精力和资金或对企业内部安全声誉的影响）■使首席信息安全官能够将宝贵的资源重新定向到经过验证的或新的计划上，以响应更快、更敏捷的方式实现预期的结果用于构建一组有意义的结果驱动指标的数据将更准确地评估 SBCP 的有效性，这些数据将来自一系列来源，包括：■安全意识基于计算机的培训解决方案■网络钓鱼仿真工具■安全监视工具（例如，安全信息和事件管理 [SIEM]）■它服务台的工具■数据损失预防工具■用户和实体行为的工具■应用程序安全测试工具■用户调查 Gartner Inc . | G00