在您的公司中建立面向安全的文化的四个步骤（第2部分，共2部分）

既然您已掌握了噩梦般的场景，并且了解了在整个投资公司中树立安全文化的重要性，那么以下四个步骤将指导您逐步建立这种文化。

1.建立计算机事件响应团队

首先创建一个“计算机事件响应团队”，该团队将监督您的信息安全策略。尽管IT专业人员负责监督和维护您的计算基础结构，但是您还需要业务用户在您的安全计划中扮演中心角色。毕竟，他们是使用这些资源的人，并且可以代表最大的漏洞和风险。尽管团队的职责可能有所不同，但许多CIRT都活跃在几个关键领域：

2.定义您的条款

机密信息

在确保您的机密信息安全之前，重要的是要准确定义您的意思-确保组织中的每个人在字面上和形象上都在同一页面上。

许多公司创建了一个10或20页的书面信息安全计划，该计划将用于管理机密信息和计算服务的创建，访问和删除的定义和策略形式化。包括个人识别信息（PII）的定义，用户访问权限和角色的描述或有关USB拇指驱动器的策略，这些都可以作为一切。重要的是，您已经明确，明确地记录了公司处于风险中的资产和服务的各个方面。多学科的跨职能团队通常在这些工作中表现最佳。

技术保障和回应

从业务角度来看，CIRT团队可以帮助IT部门制定应有的技术限制-从移动设备的加密到锁屏策略，USB使用，防病毒扫描，垃圾邮件过滤，密码策略，渗透测试，审核，以及更多。这些是技术专家不应完全掌握的问题。

如果发生违规，您的CIRT可以在评估事件的影响后管理并促进所需的响应。这可以包括与内部利益相关者合作，并根据法律要求通知监管机构和政府官员。您的业​​务人员（而不是IT团队）知道这些数据的价值，因此他们最适合定义响应。

3.提供全面的培训

如果适当的安全措施无法在整个组织中快速统一地传播，那么所有文档，委员会和会议都不会产生任何有意义的影响。而开始发生的方式是通过系统和全面的培训实践。

4.记住内部文化在外部传播

即使您已经锁定了内部系统，实施了最佳实践策略和程序，并培训了员工以“安全第一”的思维方式，仍需要做更多的工作以文化为导向。

结论

当然，对于任何对冲基金或私募股权公司而言，拥有适当的外围防御措施和严格的安全控制是不可谈判的要求。但是，企业IT安全中的新前沿不是技术而是人。通过发展内部安全文化，组织所做的工作远远不止于部署和配置位和字节。它致力于定义和遵循深思熟虑，范围广泛的策略，以消除不必要的内部漏洞，这些漏洞通常不会被人们所认识。

从经过适当培训和人员配备的计算机事件响应团队到精心定义的策略和过程以完成培训，金融服务公司可以采取简单但重要的步骤来防止违规，增强安全性，改善法规遵从性并增强客户信心。