塑造接納和調適的安全文化

在 AWS，我們了解到當安全團隊成為業務和開發人員的合作推動者時，客戶和我們自己的內部團隊是最成功的，這些團隊培養出一種文化，能確保所有利害關係人合作並提升為保持敏捷、高度回應的安全狀態。改進組織的安全文化並非本文的主題，但如果您的安全團隊保持開放心胸，您也能從非安全部門人員獲得相關情報。當安全團隊保持開放、易親近，並有領導階層的支持，他們就更能獲得安全事件的額外及時通知、合作和回應。

在某些組織中，員工可能會害怕因回報安全問題而遭到報復；有時則是根本不知道該如何回報問題。而在其他情況下，員工可能不想浪費時間，或是不好意思將某事回報為安全事件，怕之後被發現這並不是問題。從領導團隊以下，重要的是促進接納文化，並邀請每個人都成為組織安全的一分子。提供一個明確的管道，讓任何人在認為出現潛在風險或威脅時，能開啟高嚴重性票證。以熱切和開放的心態歡迎這些通知，但更重要的是，向非安全工作人員明確表示您歡迎這些通知。強調您寧願收到潛在問題的過度通知，而非完全收不到任何通知。最好是開發人員能提出自己的失誤，然後讓研究人員在公開文章中指出問題。

這些通知提供了寶貴的機會，能在壓力下進行回應性調查。制定回應程序時，它們可以作為重要的回饋迴圈。