营造一种具有接受性和适应性的安全文化

在 AWS，我们了解到，当安全团队成为其业务和开发人员的协作推动者时，我们的客户和我们自己的内部团队才能取得最大的成功，他们培养一种文化，确保所有利益攸关方进行合作并逐步升级以保持敏捷、响应迅速的安全状况。尽管改善组织的安全文化不是本白皮书的主题，但如果非安全人员认为安全团队乐于接受，您可以从他们那里获得相关情报。当您的安全团队开放且可访问时，在领导层的支持下，他们更有可能获得更多、及时的通知、合作以及对安全事件的响应。

在某些组织中，工作人员可能会害怕在报告安全问题时遭到报复。有时他们根本不知道如何报告问题。在其他情况下，他们可能不想浪费时间，或者在将某件事报告为安全事件但后来发现不是问题时可能会感到尴尬。从领导团队开始，重要的是要提倡一种接受的文化，并邀请每个人都参与到维护组织安全中来。为所有人提供清晰的渠道，让他们在认为可能存在潜在风险或威胁时开立严重程度较高的工单。以热切和开放的心态接受这些通知，但更重要的是，向非安全人员明确表示欢迎这些通知。强调您宁愿收到过多的潜在问题通知，也不愿根本接收不到任何通知。比起让研究人员在公开文章中指出问题，让开发人员说出他或她自己的错误要好得多。

这些通知为在压力下进行响应式调查提供了宝贵的机会。在您制定响应程序时，它们可以作为重要的反馈循环。