• Будь-яка компанія, яка хоче, щоб її інформаційні системи дійсно були в безпеці, повинна зробити безпека частю своєї корпоративної етики.
    Безпека - це не набір патчів, які можуть виправити якусь конкретну проблему. Для організації, яка хоче утримати свої інформаційні системи в повній безпеці, безпека повинна стати невід'ємним елементом корпоративного духу, якістю, проникаючим в кожен елемент компанії - у тому числі і її працівників.
    Першим кроком на шляху побудови в масштабах підприємства культури безпеки є усвідомлення того, що безпека починається нагорі, в керівництві. Наприклад, в Cisco Systems, безпека починається з голови компанії Джона Чемберса, який надає своє ім'я і вага ініціатив в області безпеки і слід тієї ж практики і процедур забезпечення безпеки, як і всі інші співробітники.
    Головна зброя
    Безпека - серйозна частина корпоративної політики, тому її питання не можуть розглядатися на рівні департаментів або бути віддані непрофільного відділу. Для повного забезпечення заходів безпеки цим питанням повинні займатися один чоловік, який буде нести відповідальність за їх дотримання.
    Багато організацій, включаючи Cisco, General Motors і Amazon.com, мають у штаті CSO (начальник відділу безпеки), або CISO (начальник відділу інформаційної безпеки), чия основна робота полягає у прийнятті необхідних заходів для забезпечення належного рівня IT безпеки і аудиту систем безпеки для перевірки IT систем підприємства на уразливості від внутрішніх або зовнішніх загроз.
    Навчання
    Програма навчання персоналу має життєво важливе значення для створення і підтримання належного рівня корпоративної безпеки. Навчальні матеріали можуть мати різні форми, наприклад, брошури, інформаційні бюлетені, листи, семінари, відеоролики. Компанії, які прагнуть до того, що безпека стає частиною їхнього життя, використовують різні підходи. Залучення ряду освітніх коштів виключає можливість співробітникові уникнути навчання заходам безпеки компанії.
    Інформація про безпеки повинна бути легко доступна. Можна, наприклад, створити спеціально розроблену електронну бібліотеку, де розмістити матеріали, які допоможуть співробітникам дізнатися про системах захисту інформації і даних. Співробітникам потрібно рекомендувати використовувати систему пошуку інформації за темами, починаючи від електронної пошти до шифрування даних.
    Процес взаємодії - важливий інструмент у створенні правильної системи безпеки. Дуже важливо, щоб питання безпеки стосувалися всіх співробітників без винятку. Ніхто не любить робити додаткові, важкі кроки тільки тому, що це - «політика компанії». Керівники повинні знайти час і пояснити, чому необхідна така практика, відповісти на питання співробітників і домогтися співпраці в реалізації і оновлень політик безпеки.
    Гарний взаємодія означає також орієнтованість рад по забезпеченню безпеки. Хоча багато інструкції з безпеки можуть бути застосовані в масштабах підприємства, деякі відділи вимагають спеціальних заходів, наприклад, нагадування співробітникам, які використовують у роботі ноутбуки, правил безпечного використання переносних пристроїв зберігання інформації. Використання на дошках оголошень слоганів - корисний інструмент для зміцнення культури безпеки. Наприклад, в Cisco співробітників закликають так: «Збережи безпека Cisco» і «Будь чемпіоном з безпеки» (Keep Cisco Secure» і «Be a Security Champion.»).
    Крім того, можлива мотивація співробітників за допомогою різного роду нагород. Наприклад, співробітників, які вносять значний внесок у забезпечення безпеки підприємства, нагородити грамотою та видати премію. Тим працівникам, які внесли менший внесок у забезпечення безпеки компанії, можна роздати майки з написом «Чемпіон з безпеки». Всі перемоги співробітників необхідно публічно озвучувати на нарадах або планерках.
    Вічний пошук
    Політика безпеки підприємства повинна бути гнучкою, щоб була можливість адаптувати її до нових технологій і нових загроз. Необхідно робити періодичний перегляд політики безпеки, щоб бути впевненим, що ваша політика актуальна і не перешкоджає розвитку підприємства. Крім того, всі співробітники повинні думати творчо, вносити свої пропозиції, висловлювати своє бачення заходів безпеки підприємства.
    У цьому випадку ви можете бути впевнені, що безпека дійсно є невід'ємною частиною вашої корпоративної культури.