培育強大(dà)的網絡安全文化被業内人士視爲創建強大(dà)而健康的安全計劃的基本要素，然而，TechTarget的企業戰略小(xiǎo)組和信息系統安全協會(ISSA)最近的研究發現，許多CISO認爲，公司在其組織内建立适當的網絡安全文化方面還有很長的路要走。

究竟什麽是網絡安全文化?歐洲聯盟網絡和信息安全局(ENISA)提供了以下(xià)定義：

“網絡安全文化(CSC)的概念是指人們關于網絡安全的知(zhī)識、信念、感知(zhī)、态度、假設、規範和價值觀，以及它們如何體(tǐ)現在人們使用信息技術的行爲中(zhōng)。CSC涵蓋了熟悉的主題，包括網絡安全意識和信息安全框架，但在範圍和應用方面都更廣泛，緻力于将信息安全考慮作爲員(yuán)工(gōng)工(gōng)作、習慣和行爲的組成部分(fēn)，并将其嵌入到他們的日常行動中(zhōng)。”

換句話(huà)說，網絡安全文化促進網絡安全成爲實現組織總體(tǐ)使命的必要組成部分(fēn)。事實上，研究顯示，CISO認爲網絡安全文化與威脅預防、檢測和響應方面的安全最佳實踐有着不可阻擋的聯系。當被問及如何從整體(tǐ)上改進組織的網絡安全計劃時，60%的受訪CISO表示，他們應該努力在整個組織内創建更好的網絡安全文化，而其他受訪者中(zhōng)這一(yī)比例爲42%。

值得注意的是，CISO還認爲，通過讓高管和董事會更多地參與網絡安全決策和監督，增加網絡安全預算，以及改善安全衛生(shēng)和态勢管理-所有這些都是強大(dà)的網絡安全文化的組成部分(fēn)，他們的網絡安全計劃可以得到改善。

大(dà)多數CISO認爲需要改善網絡安全文化

這些數據還指向了未來的工(gōng)作。雖然超過三分(fēn)之一(yī)(36%)的CISO将其組織的網絡安全文化評價爲先進(略高于所有其他受訪者)，但34%的CISO認爲其網絡安全文化水平爲平均水平。令人擔憂的是，30%的受訪者幾乎沒有這麽積極，他們将組織的網絡安全文化評爲公平或糟糕。

鑒于網絡安全文化的重要性，數據似乎表明首席信息官與其他企業高管之間存在脫節。不幸的是，這似乎是CISO的一(yī)種職業危險。當被問及他們是否曾在故意忽視安全最佳實踐或合規要求的組織工(gōng)作時，超過三分(fēn)之二(68%)的CISO回答說他們至少爲一(yī)個這樣的組織工(gōng)作過，而所有其他受訪者的這一(yī)比例爲57%。

CISO希望企業高管和他們自己的團隊在網絡安全方面發揮更大(dà)的領導作用

作爲調查的一(yī)部分(fēn)，受訪者被要求就他們的組織如何改善他們的網絡安全文化提出建議。雖然CISO的建議通常與其他網絡安全專業人員(yuán)相似，但CISO的回應在某些領域很突出。例如，CISO希望安全團隊參與所有業務規劃，以便他們可以構建威脅模型并實施正确的控制，他們還希望業務經理對其業務部門内的網絡安全承擔更多責任，使他們在安全團隊的支持下(xià)成爲僞業務信息安全官(BISO)，這可能有點技能限制，但可以肯定地說，CISO希望與業務經理達成妥協，使特定的業務流程與正确的風險緩解、網絡防禦和監控監督保持一(yī)緻。

總體(tǐ)而言，CISO建議組織的其他成員(yuán)，特别是高管和董事會，更加認真地對待網絡安全。值得注意的是，CISO并不是簡單地将文化缺陷歸咎于他人。事實上，40%的受訪者希望提高員(yuán)工(gōng)與公司董事會在指導這些變革方面的參與度。僅此一(yī)點就說明了CISO對其使命的獻身精神。

顯然，網絡安全文化有賴于企業高管的強有力領導。不幸的是，數據表明，CISO和公司董事會之間的關系是複雜(zá)的。當被問及如何描述他們與董事會的工(gōng)作關系時，40%的CISO說一(yī)般或差——這是一(yī)種有害和危險的情況。爲了糾正這一(yī)點，60%的CISO建議增加CISO與執行管理層和公司董事會的參與，包括參與所有業務規劃和戰略。

企業戰略組織和ISSA的研究揭示了兩個相反和令人擔憂的情況：

• 信息和通信技術組織認爲，強大(dà)的網絡安全文化是一(yī)種最佳做法，可以極大(dà)地幫助他們完成及時、有效地預防、發現和應對網絡威脅的任務。
• 許多組織的網絡安全文化滞後于它應該(和需要)的水平。

雖然CISO似乎已經準備好充當變革推動者，但他們可能會在推動這一(yī)事業方面獲得一(yī)些外(wài)部幫助。SEC最新的網絡安全風險管理規則、紐約州金融服務部規則(23 NYCRR 500)以及歐盟即将發布的NIS2指令等新法規對企業提出了額外(wài)的網絡安全要求，包括董事會/高管的責任和網絡安全文化要求。

可以肯定的是，在持續的網絡威脅、經濟損失和這些新法規之間，許多企業将把改善網絡安全文化作爲2024年及以後的優先事項。