信任为基础对待自己的员工。他们会把组织的最大利益放在心上,除非有证据证明情况并非如此。这种在没有特定理由甚至不知情的情况下对员工进行结构化(数字化)监控的政策是应受谴责的。另一方面,最好让员工了解并参与正在实施的信息安全政策。透明度有助于创造一种安全的文化,在这种文化中,人们会及时谈论事件,这是能够在为时已晚之前进行干预的先决条件。
在此背景下,关注那些容易受到信息安全事件影响的员工也很重要。身居关键职位的人或易受勒索的人可能会面临威胁组织的困境。还应提前发现这些困境并定期关注,以保护相关同事。这可以通过告知和指导他们来实现,也可以通过采取额外的程序措施来遏制危险。
原则 8:保持专业和平衡
回到迈克泰森的名言,当你被打到脸时,你往往会全力以赴,并根据感觉和情感做 阿曼电报数据 出反应。不要以为信息安全事件会有很大不同。特别是如果这种事情并不经常发生在你身上,并且上述原则在你的组织内适用范围有限,你很有可能会产生情绪反应。当然,您会使用共同制定的数据泄露通知程序,但接下来会发生什么?你确定自己做出了理性的选择,并且继续将该事件视为一个事件吗?或者,当形势变得紧张,措施变得依赖于最近的经验或意见时,您是否会做出情绪化的反应,导致政策被放弃?
如上所述,学习很重要,但遵循深思熟虑、将经验置于具体情境中的成长道路更为重要。这样,您就可以继续理性而明智地看待组织面临的挑战,并做出正确的决策。
最后说明
我从来没有打算对这个复杂的领域进行详尽的论述。我的目的是用这个比喻让外行人以不同的方式看待他们组织内的信息安全。它可能为您与同事展开对话提供一个框架,同事每天都会处理这个话题,有时他们会觉得这都是他们的错。使业务运营的这一部分井然有序并不是额外的事情,也不是别人可以照顾的事情。相反,持续参与其中应该成为组织的 DNA。它与每个人有关,即使是知道如何介入的安全专家!