高层次文化

根据我的经验，转变安全文化需要 3 个步骤：

1. 让管理层支持以不同的方式做事
2. 获得个人管理参与，以引领重要的事情
3. 通过培训、媒体和现场活动为“像我们这样的人做这样的事情”定下基调

事情是这样的：管理层必须在安全拥护者的帮助下领导这方面的工作。管理层必须希望并鼓励将技术控制应用于他们自己。如果管理层遇到特殊情况，游戏结束。

让经理，越高越好，个人和公开表达他们希望参与适当安全环境的愿望。让他们也表达沮丧和不便。但也要传达不便之处对公司的健康很重要。

“当我被提示更改密码时，我每天早上抱怨。我想，我只是 [1|3] 个月前更改了它！但是，我知道当我这样做时，我正在切断黑客使用的途径我的凭据伤害我和这家公司”

[是的，我知道关于频繁更改密码的争议，但先看看这个例子]

然后，一旦你有了这个伟大的基础，就开始把这个信息带到个人层面，带给每个人。

教他们保护自己

人们很容易认为公司政策与现实脱节（您是否填写了 TPS 报告？）。因此，大力推动公司安全可能是一场失败的战斗。相反，考虑教人们如何保护自己和家人。展示黑客如何入侵家用电脑和移动设备。通过这样做，您可以让他们真正看到所涉及的危险。一旦你得到了这种认可，那么将注意力转移到工作中的危险上就会容易得多。

得到一些牙齿

如果每个人都遵守政策，那很好，但你需要对不遵守政策的人承担一些最坏的后果。这是一个棘手的主题，您需要与 HR、GRC 和管理层合作才能完成这项工作。

将您的用户视为客户。您正在帮助他们满足保护数据的业务需求。这意味着您的工作是尽可能保持对他们的要求合理、合理和有限。这是用户体验工程。

例子：

• 如果您很难在系统上正确登录，工作组将在便利贴或白板上共享密码。

• “安全剧院”将降低对预防措施是必要的概念的信任（使人们每周更改 20 个字符的密码，只是为了阅读公司的 Intranet）。

• 如果二战德军不能让其操作员遵守安全指令（比如经常更改 Enigma 转子设置），并且考虑到他们可以对不服从的人开枪，那么你有什么机会仅仅吓唬人呢？

这是一个非常困难的问题，但如果你有机会改变事情，你应该全力以赴。

你不可能在一夜之间改变一种文化。但是，您可以采取一些步骤来开始使文化变得更好。

政策执行

这是我名单上的第一个。我在这里完全同意您需要执行安全策略，并惩罚那些不遵守它们的人。这包括从上到下的每个人。

您是否宁愿让那些继续反复搞砸的人……嗯，继续反复搞砸，从而危及公司？不要让您的公司面临不必要的危险。

在小事上不诚实的人在大事上也不诚实，不值得花时间去管教他们。这些人在我的终止推荐列表中名列前茅。任何对自己做错的事情诚实的人都会被停职，除非他们一遍又一遍地犯同样的错误。

如果有人有不同意见，请给他们一个发表意见的地方，但不要只是替他们翻脸。温和地解释为什么......有些用户需要知道为什么，这就是他们的想法。这些用户几乎总是会问他们为什么应该做某事的问题。准备好教他们。

如果有人拒绝遵守安全政策，您需要找到愿意遵守的员工。真的就是这么简单。

然而，是不是没有人有时间制定一个巨大的规则清单

我认为有太多的规则不利于那些做他们的工作的人。这就是为什么您应该为每个人制定一些特定规则，然后创建特定于角色的规则。

会计中的鲍比不是面向客户的。我不需要教他缓冲区溢出、SQL 注入、xss、csrf 等等。财务部门的 Cathy down 不需要了解服务器加固技术。

不过，工程领域的 Buff Markalo 肯定需要知道。他必须了解他被教导的政策。

使培训易于消化，易于理解

你需要在开始之前了解你的听众，否则你在开始之前就注定了。

请记住，示例对于让人们理解他们正在阅读的内容非常有帮助。我将列出一些超级基本的主题来帮助您入门。随意添加它们，但不要让它变得霸道。

1. 开发人员。
   • 使其特定于平台，并给出特定于平台的示例。
   • 你可以让它简短而简单。您甚至可以针对 OWASP 前 10 个漏洞中的每个漏洞制作易于理解的视频，这些视频只有 5 分钟左右。
   • .gitignore，不在 GitHub 上存储错误的东西等。
   • 任何与您的环境相关的东西。
2. 面向客户的员工
   • 拒绝信用卡存储，否则你会被解雇。
   • 该做什么和不该做什么。
3. 每个人
   • 网络钓鱼/捕鲸/社会工程的解释，以及它们是如何工作的。
   • 任何与他们的角色相关的东西。面向用户的？请勿以任何方式接触持卡人数据。
   • 不要分享您的密码/帐户
   • 不要设置未经授权的资源（服务器、虚拟机等）。
4. 系统管理员
   • 适当的硬化程序
   • 升级易受攻击组件的紧迫性
   • 任何与他们的环境相关的东西。

并且每次发现以前不存在的问题时始终更新。你 永远 不会 得到一切, 但 你 能 得到最多.

新员工安全指导

这是不言而喻的。您需要确保所有员工都接受安全培训。如果你制作了一个易于理解的学习包，假设每个人的注意力都很短，那么你将比 2 小时以上的安全视频获得更好的成功，其中一些人用严肃的声音嗡嗡作响。我什至不想看那些废话。

测验他们

你需要看看他们是否真的了解他们正在学习的内容。让每个人每年参加一次测验，不要让那些没有通过的人继续工作，除非他们通过。

强化测验和一般能力测验也有帮助。

不要忘记了解您的目标受众。如果您的目标受众喜欢不成熟的幽默，请在测验中使用它。

追查安全问题，并直面造成这些问题的人

有猎人吗？让他们找出您自己网络上的安全问题，并向负责这些漏洞的团队深入解释。记录他们做错的一切，并接近他们并告诉他们需要修复。

如果他们拒绝修复或更改，请参阅上面的政策执行。

不要相信用户告诉你的任何事情。始终验证他们在说什么。诚实的人是世界上最容易相处的人。不诚实的人制造的问题远远多于他们帮助解决的问题。

回顾

1. 政策执行
2. 没有霸道的规则。不要阻止人们完成工作。
3. 使其易于消化，易于理解。KISS 真的很好用。
4. 新员工安全方向。
5. 测验他们。
6. 追查安全问题并直面制造这些问题的人。

随着时间的推移，人会发生变化。有时这是一场艰苦的战斗，但值得为之奋斗。

我会少走弯路，回答这部分暗示的问题：

但他们根本不在乎

@shroeder 的回答已经涵盖了让管理层站在您这边的起点。教人们如何保护自己是如何进行灌输的一个很好的方法，但我会扩展它。让我们问一下如何激励公司的员工提高安全意识。

一般来说，关于改变工作习惯，你会遇到三种人。通过为每种类型提供激励措施，您将增加成功实施安全文化的机会。你可能会遇到：

1. 职业人士：通常由中层经理或项目经理代表。他们的重点是记录他们的能力，您将对此进行探索。在正式课程中为他们提供安全培训并提供结业证书。

   证书在实际知识方面意义不大，但您可以进行考试以实际颁发证书。你可以让他们自己学习。

2. 极客：技术人员、运营人员（取决于公司），通常还有其他可能试图发展职业的员工。他们的重点是好奇心。对于极客，您可以展示一个调试恶意软件或解释缓冲区溢出的示例，并从那里扩展您想要实施的策略。给他们好奇的事实，然后反复将它们与公司安全联系起来。

3. 无人机：有些人就是不想改变。他们只是想被告知他们需要做什么的每一个细节，而且永远不会做更多的事情。它们可以在公司内的每个地方和级别找到。而且这里没有什么神奇的规则，如果他们不遵守政策，你需要让他们承担后果。通常，您需要非常无情地强制执行这些后果，以确保其他无人机适应它们。