1. 首頁 > 生活經驗 > >

以人為本的安全性如何提升您的組織

知識經驗


以人為本的安全性如何提升您的組織

文章插圖
人們通常被認為是信息安全的“最薄弱環節” 。然而,從歷史上看,組織總是依賴于技術安全控制的有效性,而不是試圖理解為什么人們容易犯錯和被操縱 。顯然需要一種新方法;它可以幫助組織了解和管理心理脆弱性,并采用專門為人類行為設計的技術和控制 。
這種新方法是以人為本的安全 。
以人為本的安全始于理解人及其與技術、控制和數據的交互 。通過了解人們如何以及何時在整個工作日“接觸”數據,組織可以發現心理錯誤可能導致安全事件的情況 。
多年來,攻擊者一直在利用心理操縱迫使人類犯錯 。攻擊技術在數字時代得到了發展,其復雜性、速度和規模都在不斷增加 。了解人為錯誤的原因將有助于組織改變其信息安全方法 。
識別人類的弱點
以人為中心的安全意識到,員工可以在任何一天通過一系列接觸點與技術、控制和數據進行交互 。這些接觸點可以是數字的、物理的或口頭的 。在這個互動的過程中,人類將需要做出決定 。然而,人類存在一系列漏洞,可能導致錯誤的決策,從而給組織帶來負面影響,例如向外界發送包含敏感數據的電子郵件、讓尾門進入建筑物或在火車上討論公司收購 。這些錯誤也可能被機會主義攻擊者用于惡意目的 。
在某些情況下,組織可以采取預防性控制措施來減輕所犯的錯誤,例如阻止員工從外部發送電子郵件、對筆記本電腦進行強加密或物理阻止 。然而,錯誤仍然是可以解決的,尤其是當一個人為了更有效地完成工作任務而決定顛覆或忽略這些類型的控制時,或者當時間有限時 。當壓力或壓力升高時 , 也可能顯示錯誤 。
通過識別人類的基本弱點 , 了解心理學的工作原理和風險行為的原因,組織可以開始理解為什么員工可能會犯錯,并開始更有效地管理風險 。
利用人們的弱點
心理弱點為攻擊者提供了影響和利用人的優勢的機會 。人類進入數字時代以來,攻擊者所使用的心理操控手段并沒有改變 , 但攻擊技術更加先進、性價比更高、可擴展性更強,使得攻擊者能夠有效針對個人或進行大規模攻擊 。
攻擊者利用越來越多來自網絡和社交媒體來源的免費信息,構建可信的人物和背景故事 , 從而與目標建立信任和和諧的關系 。謹慎地使用這些信息來增加對目標的壓力,然后觸發啟發式決策響應 。攻擊技術被用來迫使目標使用特定的認知偏差,從而導致可預測的錯誤 。攻擊者然后可以利用這些錯誤 。
有幾種心理學方法可以用來操縱人類行為 。攻擊者可以用來影響認知偏見的一種方法是社會力量 。
有許多攻擊技術使用社交權力方法來利用人們的弱點 。攻擊技術可以有高度針對性或大規模實施,但它們通常包含旨在引起特定認知偏差的觸發器,從而導致可預測的錯誤 。雖然沒有針對性,“噴和祈禱”攻擊依賴于少數點擊惡意鏈接的收件人,更復雜的社會工程攻擊也越來越普遍和成功 。攻擊者已經意識到瞄準人類比試圖攻擊技術基礎設施要容易得多 。
在這兩種情況下,攻擊技術利用社會力量以不同的方式引發認知偏差 。在某些情況下 , 一封電子郵件可能足以引發一種或多種認知偏見 , 從而產生理想的結果 。在其他情況下,攻擊可能會使用多種技術在一段時間內逐漸操縱目標 。這是一致的,攻擊是精心構建和完善的 。通過了解攻擊者如何利用社交技能等心理方法觸發認知偏差和強迫錯誤 , 組織可以解構和分析真實事件,找出其根本原因,然后投資最有效的緩解措施 。
為了使信息安全計劃更加以人為本,組織必須意識到認知偏差及其對決策的影響 。他們應該承認,正常的工作條件可能會造成認知偏差,攻擊者會為了自己的利益使用精心設計的技術來操縱這些技術 。然后,組織可以開始重新制定信息安全計劃,以改進對人類漏洞的管理,并保護其員工免受一系列脅迫和操縱攻擊 。
管理人為漏洞
人為的漏洞可能導致失誤 , 嚴重影響一個組織的聲譽,甚至危及生命 。組織可以通過采用更以人為本的方法來提高其安全意識,設計安全控制措施和技術來應對人類行為,并改善工作環境以減少壓力或壓力的影響 , 從而加強信息安全計劃并降低人類漏洞的風險 。勞動力的壓力 。
回顧當前的安全文化和對信息安全的看法,應該使組織能夠有效地指出哪些認知偏見正在影響他們 。增強人們對漏洞和攻擊者用來利用漏洞的技術的認識,然后定制更多以人為中心的安全意識培訓 , 以解決不同的用戶群體 , 應該是任何信息安全計劃的基本要素 。
擁有成功的以人為本的安全計劃的組織通常在信息安全和人力資源職能之間有很大的重疊 。促進高級和初級員工之間的強大指導網絡,以及改善工作日結構和工作環境 , 應有助于減少不必要的壓力,這將導致影響決策的認知偏差 。
在導師和學員之間建立有意義的關系 , 從而在知識和理解之間建立平衡 。創造一個工作環境,平衡工作和生活,減少壓力、疲勞、倦怠和糟糕的時間管理,所有這些都會大大增加出錯的可能性 。最后,考慮如何改善或增強工作空間和環境,以減輕勞動壓力
或壓力 ??紤]什么是最適合勞動力的工作環境 , 因為可能有多種選擇,例如在家工作;遠程工作;或現代化辦公空間,工廠或室外場所 。
從最薄弱的環節到最強的資產 , 
潛在的心理脆弱性意味著人類容易犯錯誤,也容易受到操縱性和強制性攻擊 ?,F在 , 錯誤和處理占據了大多數安全事件,因此風險是巨大的 。通過幫助員工了解這些漏洞如何導致不良的決策和錯誤 , 組織可以管理意外內部人員的風險 。為此,需要一種新的信息安全方法 。
以人為中心的安全方法可以幫助組織顯著減少導致錯誤的認知偏見的影響 。通過發現最常見的認知偏差 , 行為觸發因素和攻擊技術,可以將量身定制的心理訓練引入組織的意識運動中 ??梢詫夹g,控制和數據進行校準以解決人類行為,同時改善工作環境可以減輕壓力和壓力 。
【以人為本的安全性如何提升您的組織】一旦從心理學的角度理解了信息安全,組織將為管理和減輕人為漏洞帶來的風險做好準備 。以人為本的安全性將幫助組織將最薄弱的環節轉變為最強大的資產 。