10/21/2016 Effective IS Starts, Ends With Security Culture  ISACA Now

http://www.isaca.org/KnowledgeCenter/Blog/Lists/Posts/Post.aspx?ID=704 1/2

ISACA Now BlogEffective IS Starts, Ends With Security CultureDominic Vogel, Chief Security Strategist, Cyber.SC| Posted at 3:12 PM by ISACA News | Category: Security | Permalink | Email this Post | Comments (0)

For an information security professional, one of the most important areas for an organization is building a corporate security culture.Building a security culture begins with the IS professional:  being transparent and passionate about security, speaking about securityinitiatives at company meetings, and providing recurring security awareness talks.

This grassroots, bottomup approach should be coupled with an increased focus on executives. Getting their support and buyin isabsolutely critical. If the CEO does not have to have a strong password, why should anyone else in the company? If the CEO does nottake time to do security awareness training, why should anyone else? Show me a company with a CEO who takes information securityseriously and I’ll show you a company with a strong security culture.

Break the Security StereotypeTo accomplish this you need to break the stereotype of the security staffer as a negative cynic that people go out of their way to avoid (and

security people keep complaining about not being invited to the discussion table). The key takeaway is that if you keep acting like a stereotype, your security culture willget ugly fast.

When one of your colleagues clicks on a phishing link you need to be positive and humble. How many of you have been condescending to employees or mutteredunder your breath that they were stupid for clicking a link? Treat employee mistakes as educational moments and your security culture will improve for the better.

Awareness Pays DividendsUsing awareness as a foundational block of your company’s security culture will help develop a more resilient workforce with a strong collective awareness. By takingthe time to explain and educate rather than admonish or send out blanket email reminders, your message will resonate with employees. For example, taking time toexplain the “why” in your security policies and developing policies collectively helps foster a shared sense of ownership. Your colleagues are more likely to abide byrules they helped to create rather than rammed down their throats. This lends itself to a selfrealization that security is the responsibility of the many, not the few.

Barely 1 percent of security budgets are allocated to awareness, yet 94 percent of breaches involve some sort of incidental/accidental human interaction. Evenincrementally investing in your people would pay dividends.

If you don’t think that culture is important, a recent report about the watershed data breach at the U.S. Office of Performance Management (OPM) should change yourmind:

The longstanding failure of OPM’s leadership to implement basic cyber hygiene, such as maintaining current authorities to operate and employing strong multifactor authentication, despite years of warnings from the Inspector General, represents a failure of culture and leadership, not technology.

It was breakdowns in the people and process aspects of security that led to this breach, NOT the technology. The report also mentioned that:

As OPM discovered in April 2015, tools were available that could have prevented the breaches, but OPM failed to leverage those tools to mitigate the agency’sextensive vulnerabilities. 

The headline of the article that posted the report read as “Insufficient Investment in Culture Yields Inconsistent Results.” That has to be the understatement of thecentury.

Remember culture trumps everything.

Editor’s note:  Vogel will be presenting Security for the Millennial Age at the 2016 CSX North America Conference, which takes place in Las Vegas 1719 October. Formore information click here. There will be two additional CSX conferences this year, including the inaugural CSX 2016 Europe conference 31 October2 November inLondon, and the inaugural CSX 2016 Asia Pacific conference 1416 November in Singapore.

REGISTER NOW

 

 

10/21/2016 Effective IS Starts, Ends With Security Culture  ISACA Now

http://www.isaca.org/KnowledgeCenter/Blog/Lists/Posts/Post.aspx?ID=704 2/2

CommentsThere are no comments yet for this post.

You must be logged in and a member to post a comment to this blog.