心理学在提升网络安全文化中的作用

Ann2021-10-22 11:06:45

网络安全文化对系统性建立组织的网络安全能力发挥着重要作用,但这种安全文化的建立不可能一蹴而就。改善安全文化首先必须消除网络安全是一个纯粹的技术课题的神话,并以一种人人都能接触以并相关的语言和规范为人们提供明确的指导。长远来看,组织帮助员工了解网络攻击心理方面的影响因素,对网络安全事件的应对能力会更强。掌握常见网络攻击(如网络钓鱼)背后的心理学,是企业可以采取的切实可行措施之一,这有助于改善其网络安全文化。

实践中的网络安全文化

众所周知,一个透明、开放且积极的网络安全文化将通过赋予人们做出正确决定的权力,使企业更有弹性地应对不断演变的网络威胁。然而,网络安全文化的改善并非一蹴而就。

在实践中,这涉及与企业与员工建立双向对话。例如,企业需要打开沟通渠道,以便人们能够就实施政策或流程可能遇到的困难提供反馈,而不是简单在推送安全信息。这也意味着积极倾听他们的要求,并在适当的时候采取行动。

改进网络安全文化还必须包括确保采用以人为中心的方法处理网络安全团队所做的一切。这不仅仅是建立人们的安全意识,还意味着网络安全团队中的每个人都必须在组织内充当受信任的顾问,而不是被视为只是监督遵守网络政策的局外人。

建立网络安全文化还包括鼓励在各个层面拥有更多的网络安全所有权,特别是如果公司是一个中型或大型组织,在全球各地设有国际办事处。其中一种方法是建立一个全球网络安全代理网络。这些人可以在当地办事处担任网络安全最佳实践的倡导者和/或大使,并作为联络人帮助其他人解决相关问题。他们还可以作为网络安全团队想要试验的任何新计划的测试组,并提供宝贵的洞察力,以了解什么可以或不能在更广泛的业务中应用。

改善网络安全文化还必须消除网络安全是一个纯粹的技术主题的神话,并以一种人人都能接触感知并以相关的语言和规范为人们提供明确的指导。

人类网络指数

Pinsent Masons开发的人类网络指数(Human Cyber Index),是一项衡量组织网络安全文化及其与员工生产力关系的指标。这允许您努力创建响应式网络安全文化,该安全文化以员工认为易于使用的策略和流程为基础。帮助企业评估员工的行为、参与度、生产力以及他们与安全团队的关系——所有这些都可能影响到企业的网络安全文化。

通过强调网络犯罪的心理层面因素,人们会发现网络安全这个话题更加相关和可获得,这反过来帮助他们理解,在这种情况下,他们比自己所认为的有更多的控制权。

当在一个组织内首次使用人类网络指数时,通常会发现,他们面临的挑战是改变人们的看法,即网络安全超出了他们的能力或职权范围,是一门高技术或熟练的学科。有时强制性培训的初次完成率很低,网络安全团队在内部缺乏可信任顾问所需的能见度和声誉。在这种环境下,网络安全被视为无趣的一项合规举措。

事实上,组织中的每个人对待信息安全的方式并不相同。例如,年龄很重要。在许多情况下,最年轻的员工——那些来自“Z一代”的人——对技术的使用很熟悉,但这并不总是意味着他们对网络安全很熟悉。相比之下,尽管老一辈人通常对隐私和安全有更强的本能,但他们并不总是能自如地使用公司提供的IT产品。

在大多数情况下,人们确实关心网络安全,并认真对待这个问题,但他们有时会在复杂的政策和流程中挣扎。

心理学和网络安全

企业可以通过让员工了解主导大多数网络安全漏洞的心理因素,来解决网络安全是一门纯技术学科的神话。对这一复杂课题的研究一直在不断地进行。

伯恩茅斯大学(Bournemouth University)为英国心理学会(the British Psychological Society)撰写的一篇关于网络安全背景下行为变化的论文,强调了网络攻击受害者往往是如何在心理上受到操纵的。在他们的建议中,他们呼吁将“行为改变原则”应用于“公共和工作场所”,以“增强个人更好地管理网络安全威胁的能力”。

网络犯罪分子经常通过网络钓鱼攻击来利用人类访问系统和数据的倾向。这些攻击是一种社会工程,目的是利用员工已有的知识或典型行为,诱骗他们透露私人或敏感信息、点击链接或打开可疑附件。

作为以人为中心的网络安全方法的一部分,模拟钓鱼攻击,并在训练后解释模拟攻击背后的心理学,向人们展示网络罪犯将如何试图操纵他们的思想和行动。通过这样做,人们可以更好地了解网络钓鱼攻击中可能包含的行为触发因素。

引入心理元素,是一种将网络培训和内容聚焦于个人安全、而非组织安全的方式——潜在行为是相同的,只是呈现方式不同。研究发现,人们觉得这更有相关性,他们会更专注于这个话题,想知道更多。与此相结合,提倡网络培训的竞争性元素,通过排行榜来反映和奖励那些发现可疑邮件并报告它们的人。

通过强调网络犯罪的心理学因素,人们会认为网络安全这个话题更加与自己相关和可获得,这反过来帮助他们理解,在这种情况下,比他们认为的有更多的控制权。这是构建和维持网络安全文化的核心部分,也是设计反映人类倾向和嵌入安全行为的策略和实践的核心部分。

网络安全网络钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
2022年上半年,全球重大网络安全事件频发,勒索软件、数据泄露、黑客攻击等层出不穷,且变得更具危害性,比如今年1月份,美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件,超过130万人受影响。这一趋势预计将在2023年继续。软件勒索事态恶化恶意软件是以恶意意图编写的软件的统称,包括病毒软件、勒索软件和间谍软件。相关数据显示,2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。
网络空间安全动态
2021-12-14 22:41:32
12月3日,全国金融标准化技术委员会秘书处发布《金融数据安全 数据安全评估规范》并公开征求意见。这些指令将于12月31日生效,运营商将有90天时间进行网络安全脆弱性评估,180天时间实施网络安全事件响应计划。Kister随后致电德国刑事调查部门和联邦信息安全办公室,并通知相关监管机构,目前调查仍在进行中。12月2日,疑似勒索软件组织Conti在其泄露站点发布了Kisters 5%的被窃数据。
该调查在美国、英国和德国进行。对行业安全认证的不信任是调查发现的另一个关键问题。Sampson认为,网络安全认证与安全意识培训的内容开发、个人学习和能力评估之间的时间间隔与快速发展的威胁形势不匹配,导致个人在面对真实的网络威胁时的实战表现总是低于预期。
近年来机器学习的快速发展使人工智能的潜在能力显而易见。在十几次采访过程中,研究人员、投资者、政府官员和网络安全高管绝大多数表示,他们正以怀疑和兴奋的心情关注生成式人工智能的防御潜力。他们的怀疑源于一种怀疑,即营销炒作歪曲了该技术的实际功能,并且认为AI甚至可能引入一组新的、人们知之甚少的安全漏洞。但这种怀疑被真正的兴奋所掩盖和缓和。这在很大程度上是由于行业领导者OpenAI发布其生成AI产品的积极性。
网络安全文化对系统性建立组织的网络安全能力发挥着重要作用,但这种安全文化的建立不可能一蹴而就。改善安全文化首先必须消除网络安全是一个纯粹的技术课题的神话,并以一种人人都能接触以并相关的语言和规范为人们提供明确的指导。长远来看,组织帮助员工了解网络攻击心理方面的影响因素,对网络安全事件的应对能力会更强。掌握常见网络攻击(如网络钓鱼)背后的心理学,是企业可以采取的切实可行措施之一,这有助于改善其网络
新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局,比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击,并造成更大的破坏。因此,《2023 年网络安全风险投资网络犯罪报告》预测,与网络犯罪相关的危害成本将迅速增加——预计到 2024 年底,全球损失将达到 10.5 万亿美元。
AIGC(生成式人工智能)、大模型、AGI(人工通用智能)、MaaS(模型即服务)作为科技领域的热门技术,毫无疑问成为了2023年的关键词。“生成式AI”正以前所未有的方式影响着人们的生活和工作方式。在网络安全方面,这项技术也正深刻改变着对抗形态和攻防模式,其在打开人类认知世界新路径的同时,也成为黑客开展网络攻击的“利器”。随着生成式AI的深入发展,“双刃剑”效应日益凸显,其为网络安全带来的冲击和
针对组织的网络安全威胁逐年增加。这些警报也可以上报给 IT 团队以立即进行补救。由于人为错误是数据泄露和其他网络攻击得逞的主要原因,因此企业应投资于网络安全培训,以便其员工做好检测和报告威胁的准备。DNS 保护阻止设备访问恶意站点,MDR 保护监控每个设备的进程以识别异常并快速响应。组织还应该为成功攻击或破坏事件做好准备。
网络安全人员有时处于有利地位,有时处于不利地位。当网络安全人员认为网络安全只是应对网络犯罪活动的工作时,他们会让自己感到失去控制并且沮丧。因此,安全性要求网络安全人员接受度量结果。在关注KPI时应该将其视为一种监视仪表板,监视系统的健康状况。不断追求完美将会扭曲安全性指标,因此进行诚实的评估是关键。当某件事出错并发现重大漏洞时,往往会引起人们的关注。
Ann
暂无描述