安全意识培训：将最弱一环打造成最强资产

人通常被认为是信息安全中的 “最弱一环”，但企业一直以来都依赖技术控制的有效性，未试图理解为什么人总容易犯错和被操纵。

Juniper Research最近表示：所有企业都必须意识到网络攻击的整体性质，需要从整体上采取防护措施。随着社会工程学的不断发展，以人为中心的安全策略需要在企业安全中占据一席之地。

现在，网络安全意识日益被安全人士视为预防网络安全攻击的最佳方法之一。通过安全意识培训，正在将最弱一环打造成最强资产。

识别利用人员漏洞

“以人为中心”的安全承认，员工每天都通过一系列触点与技术、控制和数据交互。这些触点可能是数字的、实体的，或者口头的。员工需在此类交互中做出决策。

然而，人类有很多漏洞可能导致决策错误，对公司造成负面影响，比如对外发送包含敏感数据的电子邮件、被人尾随进入公司限制区域，或者在火车上讨论公司并购问题。这些错误也可被投机黑客用于恶意目的。

很多攻击技术都利用人员漏洞。攻击技术可以是高度针对性的，也可以是大范围施展的，但它们通常都包含用于唤起认知偏差的触发器，造成可预测的错误。

非针对性的 “广撒网” 式攻击仰赖一小部分用户点击恶意链接，而更复杂的社会工程攻击则更为成功，也越来越流行。攻击者已经意识到对人下手远比攻击技术基础设施要简单得多了。

某些情况下，公司企业可以设置预防性控制措施缓解出错，比如禁止员工向外发送电子邮件、加密笔记本电脑，或设置实体屏障。但错误总会发生，尤其是时间很紧张，或者员工为了更高效地完成任务而决意违反或无视此类控制措施的时候。压力加大的时候错误也会浮现。

若能识别基本人员漏洞，理解人类心理机制，了解哪些东西会触发危险行为，公司企业就会开始理解为什么员工会犯错，然后更有效地管理此类风险。

管理人员漏洞

人员漏洞可致严重影响企业声誉，甚或带来人身安全风险的错误。公司企业可采取多种方法强化信息安全项目，缓解人员漏洞风险，比如采纳更以人为中心的安全意识培育方法，设计覆盖人员行为的安全控制与技术，提升工作环境以降低员工承压的影响等。

审查当前安全文化和对信息安全的接受度，可使企业明确看出哪种认知偏差正在影响公司。提升对人员漏洞及其利用技术的认知，据此设计更以人为中心的安全意识培训，涵盖不同人员类型，应成为强化任何信息安全项目的基本元素。

拥有以人为中心的成功安全项目的公司企业，其信息安全和人力资源部门之间往往高度重合。高级职员与初级雇员之间有力的指导网络，结合工作日和工作环境的结构性改善，应有助于减少不必要的压力，防止触发影响决策的认知偏差。

发展导师和学员间的良好关系，构建知识与理解之间的平衡。营造能够减少压力、疲累、职业倦怠和不良时间管理的工作环境与工作-生活平衡，大幅削减出错概率。

最后，考虑工作空间与环境的改善或增强如何降低对员工的压力。考虑对员工而言什么才是最适合的工作环境，因为可选项很多，比如在家工作、远程工作，或者现代化办公空间、工厂或户外场合。

将最弱一环打造成最强资产

深层心理弱点意味着人既容易犯错，又容易受操纵性和胁迫性攻击的影响。错误和操纵如今构成了安全事件的主因，所以，风险是深层次的。通过帮助员工理解这些弱点如何导致不良决策和失误，公司企业可以有效管控内部人无心之失的风险。而要达到这种效果，就需要全新的信息安全方法。

以人为中心的安全方法可以帮助公司企业大幅降低认知偏差的影响，减少出错。企业可通过识别认知偏差和常见行为触发器及攻击技术，往自己的安全意识项目中引入相应的心理培训。校准技术、控制和数据可以解释人类行为，而提升工作环境可以减轻压力。

一旦从心理层面上理解了信息安全，公司企业就能更好地应对人员漏洞所致风险的管理和缓解工作。以人为中心的安全将助力公司企业将最弱一环转变为最强资产。

安全意识不是靠安全月能提高的

安全意识如此重要，我们每年搞个安全月，是不是就能提高全员的安全意识了呢？结果可能让你失望了。根据2019年初期《 PC Magazine》进行的一项调查显示，即便经过十多年的敦促、警告、安全意识月、企业安全意识培训等等，大多数美国人仍缺乏基本的网络安全知识，得分只能达到D（等级）。

2019年2月，该杂志与Wakefield Research合作对1万名美国成年人（每个州200名）进行的调查显示，大多数美国人对其网络安全状况“过分自信”。十分之九的受访者（88％）认为，已经采取了适当的措施来保护自己免受网络犯罪的侵害。实际上，只有10％是这样。

这意味着，我们需要改变传统的安全意识培训方式。还在依靠贴标语式的海报、搞专家讲座、搞静态展览来进行安全意识培训吗？这种没有走进员工内心的培训方式，很难真正提高安全意识。

目前安全意识培训开始由简单、被动的教育转向“以人为中心”的安全策略，以适应不同人群的需求、目标和学习方式。有趣、好玩、互动，让安全意识培训渗透日常工作的活动，甚至进入年度合规考核培训，才是提升安全意识的有效方式。

来源：安意士

版权归原作者所有，如若转载，请注明出处：https://www.ciocso.com/article/144.html