心理学在提升网络安全文化中的作用
网络安全文化对系统性建立组织的网络安全能力发挥着重要作用,但这种安全文化的建立不可能一蹴而就。改善安全文化首先必须消除网络安全是一个纯粹的技术课题的神话,并以一种人人都能接触以并相关的语言和规范为人们提供明确的指导。长远来看,组织帮助员工了解网络攻击心理方面的影响因素,对网络安全事件的应对能力会更强。掌握常见网络攻击(如网络钓鱼)背后的心理学,是企业可以采取的切实可行措施之一,这有助于改善其网络安全文化。
实践中的网络安全文化
众所周知,一个透明、开放且积极的网络安全文化将通过赋予人们做出正确决定的权力,使企业更有弹性地应对不断演变的网络威胁。然而,网络安全文化的改善并非一蹴而就。
在实践中,这涉及与企业与员工建立双向对话。例如,企业需要打开沟通渠道,以便人们能够就实施政策或流程可能遇到的困难提供反馈,而不是简单在推送安全信息。这也意味着积极倾听他们的要求,并在适当的时候采取行动。
改进网络安全文化还必须包括确保采用以人为中心的方法处理网络安全团队所做的一切。这不仅仅是建立人们的安全意识,还意味着网络安全团队中的每个人都必须在组织内充当受信任的顾问,而不是被视为只是监督遵守网络政策的局外人。
建立网络安全文化还包括鼓励在各个层面拥有更多的网络安全所有权,特别是如果公司是一个中型或大型组织,在全球各地设有国际办事处。其中一种方法是建立一个全球网络安全代理网络。这些人可以在当地办事处担任网络安全最佳实践的倡导者和/或大使,并作为联络人帮助其他人解决相关问题。他们还可以作为网络安全团队想要试验的任何新计划的测试组,并提供宝贵的洞察力,以了解什么可以或不能在更广泛的业务中应用。
改善网络安全文化还必须消除网络安全是一个纯粹的技术主题的神话,并以一种人人都能接触感知并以相关的语言和规范为人们提供明确的指导。
人类网络指数
Pinsent Masons开发的人类网络指数(Human Cyber Index),是一项衡量组织网络安全文化及其与员工生产力关系的指标。这允许您努力创建响应式网络安全文化,该安全文化以员工认为易于使用的策略和流程为基础。帮助企业评估员工的行为、参与度、生产力以及他们与安全团队的关系——所有这些都可能影响到企业的网络安全文化。
通过强调网络犯罪的心理层面因素,人们会发现网络安全这个话题更加相关和可获得,这反过来帮助他们理解,在这种情况下,他们比自己所认为的有更多的控制权。
当在一个组织内首次使用人类网络指数时,通常会发现,他们面临的挑战是改变人们的看法,即网络安全超出了他们的能力或职权范围,是一门高技术或熟练的学科。有时强制性培训的初次完成率很低,网络安全团队在内部缺乏可信任顾问所需的能见度和声誉。在这种环境下,网络安全被视为无趣的一项合规举措。
事实上,组织中的每个人对待信息安全的方式并不相同。例如,年龄很重要。在许多情况下,最年轻的员工——那些来自“Z一代”的人——对技术的使用很熟悉,但这并不总是意味着他们对网络安全很熟悉。相比之下,尽管老一辈人通常对隐私和安全有更强的本能,但他们并不总是能自如地使用公司提供的IT产品。
在大多数情况下,人们确实关心网络安全,并认真对待这个问题,但他们有时会在复杂的政策和流程中挣扎。
心理学和网络安全
企业可以通过让员工了解主导大多数网络安全漏洞的心理因素,来解决网络安全是一门纯技术学科的神话。对这一复杂课题的研究一直在不断地进行。
伯恩茅斯大学(Bournemouth University)为英国心理学会(the British Psychological Society)撰写的一篇关于网络安全背景下行为变化的论文,强调了网络攻击受害者往往是如何在心理上受到操纵的。在他们的建议中,他们呼吁将“行为改变原则”应用于“公共和工作场所”,以“增强个人更好地管理网络安全威胁的能力”。
网络犯罪分子经常通过网络钓鱼攻击来利用人类访问系统和数据的倾向。这些攻击是一种社会工程,目的是利用员工已有的知识或典型行为,诱骗他们透露私人或敏感信息、点击链接或打开可疑附件。
作为以人为中心的网络安全方法的一部分,模拟钓鱼攻击,并在训练后解释模拟攻击背后的心理学,向人们展示网络罪犯将如何试图操纵他们的思想和行动。通过这样做,人们可以更好地了解网络钓鱼攻击中可能包含的行为触发因素。
引入心理元素,是一种将网络培训和内容聚焦于个人安全、而非组织安全的方式——潜在行为是相同的,只是呈现方式不同。研究发现,人们觉得这更有相关性,他们会更专注于这个话题,想知道更多。与此相结合,提倡网络培训的竞争性元素,通过排行榜来反映和奖励那些发现可疑邮件并报告它们的人。
通过强调网络犯罪的心理学因素,人们会认为网络安全这个话题更加与自己相关和可获得,这反过来帮助他们理解,在这种情况下,比他们认为的有更多的控制权。这是构建和维持网络安全文化的核心部分,也是设计反映人类倾向和嵌入安全行为的策略和实践的核心部分。