数据是企业最宝贵也最脆弱的资产,仅靠技术无法完全抵御日益复杂的网络攻击。真正的 数据韧性 依赖于一种透明的企业文化,它鼓励员工在没有恐惧的情况下主动报告安全问题,从而打破代价高昂的“沉默文化”。通过采用数据韧性成熟度模型等框架,企业可以识别并弥补技术和文化上的短板,最终在面对不可避免的攻击时,能够更快地恢复并保持竞争力。
威胁的演变:从技术到文化
网络攻击者已经学会利用企业中最薄弱的环节,而这些环节往往是文化而非技术上的。
- 犯罪工具的进化: 犯罪分子正利用人工智能(AI)以前所未有的速度编写复杂的恶意代码。
- 社交工程的升级: 员工可能知道如何识别钓鱼邮件,但可能无法抵御模仿熟人声音和面孔的深度伪造攻击。
- 远程办公的风险: 远程工作增加了无意疏忽的风险,例如丢失公司设备或在公共 Wi-Fi 上处理专有数据。
您的网络安全基础设施的强度,取决于其最薄弱的环节。而攻击者已经学会利用那些非技术性的、文化上的机会。
“沉默文化”的巨大代价
由于害怕承担责任,许多员工在发现安全问题时选择保持沉默。这种“沉默文化”会给企业带来灾难性的后果。
- 延迟响应: 沉默会严重拖延事件响应和恢复的速度。
- 侵蚀士气: 隐藏问题会损害团队士气,并破坏合作伙伴与客户的信任。
- 增加损失: 运营停机、客户流失和公关危机只是网络灾难的部分长期影响。
Veeam 的产品策略高级副总裁 Dave Russell 指出,如果公司只颁布安全规定而不解释其存在的原因,员工可能会将其视为需要规避的障碍,而不是一层保护。
建立透明的韧性文化
克服沉默文化需要先进的工具和有意识的领导力。即使是最好的技术,也需要开放、透明和问责制才能发挥作用。
“让我们保持透明,” Russell 说。“我们不要惩罚任何人。让我们确保我们没有漏报或粉饰事件,并营造一种可以坦诚说出问题并借此机会反思‘我们还能做得更好吗?’的文化。”
建立韧性文化的关键步骤包括:
- 全员参与: 安全文化必须从 IT 部门扩展到整个组织。
- 明确理由: 向所有员工清晰地阐述网络安全措施背后的逻辑。
- 鼓励上报: 实施 “无指责”或匿名报告政策,鼓励员工在发现问题时立即发声。
- 积极强化: 在更积极的环境中,甚至可以奖励发现问题的员工。
用于衡量和改进的框架
无论规模或行业如何,所有组织都可以通过建立透明文化和采用经过研究验证的综合韧性框架来支持其员工、合作伙伴和客户。
一个成熟的 数据韧性成熟度模型 (DRMM) 可以帮助企业:
- 全面评估: 衡量企业在战略、人员、流程和六个核心技术领域(备份、恢复、架构、安全、报告和智能)的成熟度。
- 暴露差距: 揭示阻碍恢复能力的技术和文化短板。
- 制定路线图: 建立改进计划和文化最佳实践,用韧性文化取代沉默文化。
事实证明,成熟度高的组织从故障中恢复的速度比成熟度低的组织快 两到三倍。例如,一个医疗网络在提升其韧性实践后,每次停机事件的损失减少了 500 万美元。技术固然重要,但更重要的是所有团队在目标上保持一致。