企业网络安全文化建设必备(2):Gartner PIPE(实践|影响|平台|使能)框架
企业网络安全文化建设必备(2):Gartner PIPE(实践|影响|平台|使能)框架
原创 HardyXie 超安全 2025-01-27 14:45
前言
国际权威研究机构Gartner近年来高度关注网络安全中的“人为因素”,发布了一系列相关的研究报告和趋势预测。例如,Gartner早在2022年便提出了安全行为与文化计划(SBCP)的理念,并创新性地推出了PIPE(
实践
|
影响
|
平台
|使能)框架,以
指导
组织更有效地促进风险行为的改变和安全文化的塑造,2023年将“以人中心的设计”列为顶级安全趋势之一,2024年则将“安全行为与文化计划(SBCP)”列为顶级趋势之一。
另据Gartner相关预测,
63%的
首席信息安全官(
CIS
O)
预计在未来
18个月内
将增加
安全意识
与培训预算投入(2024年初预测);到2025年,70%的企业CEO将要求建立更具弹性的“网络安全文化”;
到
2025年,40%的网络安全项目将采用
“
社会行为原则(如
:助推
理论)
”
来影响整个组织的安全文化
;
到
2026年,至少50%的C级高管在
其雇佣
合同中
将
加入与网络安全风险相关的绩效要求。
一个不可否认的事实是:
“
人
为
因素
”
依然
是造成
大多数
数据泄露的最主要因素
之一。然
而
,
长期以来,
“
以课程为基础、以意识为中心
”
的
传统安全意识与培训
计划
显得越来越苍白无力
。首席信息安全官
(
CIS
O)
必须
目光长远,
不
止于
提
升全员的
安全意识,
更要致力于改变员工的风险行为,打造符合企业自身发展特色的
安全文化
。
关键发现
– 传统
的
方法
仅仅是
注重
于提升员工对于
网络安全威胁
的意识水平
,
而对于
降低组织的网络安全风险水平
实际上是无效的
。
-
追求效率和便利性(认为业务需求或利益优先于安全风险)以及员工未感受和体验到自身风险行为带来的负面影响,这是员工发生不安全行为最常见的两个原因。
-
93%的员工明明知道自己的行动会给公司带来安全风险,他们依旧在工作场所做出了某些不安全的行为,这进一步表明,安全意识培训本身对员工的风险行为几乎没有明显的影响。
-
虽
然
培训完成率、钓鱼演练中招率等是企业试图衡量其安全意识计划有效性的最常见方式,但这些偏
合规性指标
无法证明安全意识工作
带来的有价值结果。
行动建议
对于
寻求
有效降低员工风险
行为
,打造组织安全文化
的首席信息安全官
来说,建议如下
:
– 从根本
上革新理念,改变传统做法。
促进必要的行为改变
发生
,仅
仅依
靠安全意识培训不足以解决
人为因素
引起的网络安全风险。
-
制定一个长期计划(多年
期
)来改善
风险
行为,
因为
行为
改变和
文化
塑造是复杂的,改变
并不
可
能一蹴而就
,需要一定周期。 -
参考和充分利用Gartner PIPE (
实践
|
影响
|
平台
|使能)框架,促使安全意识切实落地到安全行为。 -
利
用
“以行为为中心、
以
结果
为
驱动的
”度量
指标
,
来证明
安全行为与文化计划(SBCP)的实际价值
。
PIPE框架详解
PIPE框架是专门为帮助
首席信息安全官(CISO)/安全意识官(SAO)打造组织
安全文化而开发的,
它为CISO/SAO解决网络安全中“人的问题”提供了新的思路和视角,有助于企业将人为因素对网络安全的影响降至最低。
PIPE框架包含八大要素
,如上图,其中
三个核心组件
是:理念
实践
(Practices)
、影响
因素(Influences)
和平台
支撑(Platforms)
,五个
使能因素(Enablers)分别是:高管支持(Executive Support)、愿景感召(Engaging Vision)、专业知识(Expertise)、用心实施(Execute Mindfully),以及结果评估(Evaluate Outcomes)。
五大关键使能因素(Enablers)
CISO/SAO
应确保以下五个
使能因素支持
到位,它们构成了
整个框架的
支撑结构和成功实施
SBC
P计划的
关键基础。