心理學在提升網絡安全文化中的作用
網絡安全文化對系統性建立組織的網絡安全能力發揮著重要作用,但這種安全文化的建立不可能一蹴而就。改善安全文化首先必須消除網絡安全是一個純粹的技術課題的神話,并以一種人人都能接觸以并相關的語言和規范為人們提供明確的指導。長遠來看,組織幫助員工了解網絡攻擊心理方面的影響因素,對網絡安全事件的應對能力會更強。掌握常見網絡攻擊(如網絡釣魚)背后的心理學,是企業可以采取的切實可行措施之一,這有助于改善其網絡安全文化。
實踐中的網絡安全文化
眾所周知,一個透明、開放且積極的網絡安全文化將通過賦予人們做出正確決定的權力,使企業更有彈性地應對不斷演變的網絡威脅。然而,網絡安全文化的改善并非一蹴而就。
在實踐中,這涉及與企業與員工建立雙向對話。例如,企業需要打開溝通渠道,以便人們能夠就實施政策或流程可能遇到的困難提供反饋,而不是簡單在推送安全信息。這也意味著積極傾聽他們的要求,并在適當的時候采取行動。
改進網絡安全文化還必須包括確保采用以人為中心的方法處理網絡安全團隊所做的一切。這不僅僅是建立人們的安全意識,還意味著網絡安全團隊中的每個人都必須在組織內充當受信任的顧問,而不是被視為只是監督遵守網絡政策的局外人。
建立網絡安全文化還包括鼓勵在各個層面擁有更多的網絡安全所有權,特別是如果公司是一個中型或大型組織,在全球各地設有國際辦事處。其中一種方法是建立一個全球網絡安全代理網絡。這些人可以在當地辦事處擔任網絡安全最佳實踐的倡導者和/或大使,并作為聯絡人幫助其他人解決相關問題。他們還可以作為網絡安全團隊想要試驗的任何新計劃的測試組,并提供寶貴的洞察力,以了解什么可以或不能在更廣泛的業務中應用。
改善網絡安全文化還必須消除網絡安全是一個純粹的技術主題的神話,并以一種人人都能接觸感知并以相關的語言和規范為人們提供明確的指導。
人類網絡指數
Pinsent Masons開發的人類網絡指數(Human Cyber Index),是一項衡量組織網絡安全文化及其與員工生產力關系的指標。這允許您努力創建響應式網絡安全文化,該安全文化以員工認為易于使用的策略和流程為基礎。幫助企業評估員工的行為、參與度、生產力以及他們與安全團隊的關系——所有這些都可能影響到企業的網絡安全文化。
通過強調網絡犯罪的心理層面因素,人們會發現網絡安全這個話題更加相關和可獲得,這反過來幫助他們理解,在這種情況下,他們比自己所認為的有更多的控制權。
當在一個組織內首次使用人類網絡指數時,通常會發現,他們面臨的挑戰是改變人們的看法,即網絡安全超出了他們的能力或職權范圍,是一門高技術或熟練的學科。有時強制性培訓的初次完成率很低,網絡安全團隊在內部缺乏可信任顧問所需的能見度和聲譽。在這種環境下,網絡安全被視為無趣的一項合規舉措。
事實上,組織中的每個人對待信息安全的方式并不相同。例如,年齡很重要。在許多情況下,最年輕的員工——那些來自“Z一代”的人——對技術的使用很熟悉,但這并不總是意味著他們對網絡安全很熟悉。相比之下,盡管老一輩人通常對隱私和安全有更強的本能,但他們并不總是能自如地使用公司提供的IT產品。
在大多數情況下,人們確實關心網絡安全,并認真對待這個問題,但他們有時會在復雜的政策和流程中掙扎。
心理學和網絡安全
企業可以通過讓員工了解主導大多數網絡安全漏洞的心理因素,來解決網絡安全是一門純技術學科的神話。對這一復雜課題的研究一直在不斷地進行。
伯恩茅斯大學(Bournemouth University)為英國心理學會(the British Psychological Society)撰寫的一篇關于網絡安全背景下行為變化的論文,強調了網絡攻擊受害者往往是如何在心理上受到操縱的。在他們的建議中,他們呼吁將“行為改變原則”應用于“公共和工作場所”,以“增強個人更好地管理網絡安全威脅的能力”。
網絡犯罪分子經常通過網絡釣魚攻擊來利用人類訪問系統和數據的傾向。這些攻擊是一種社會工程,目的是利用員工已有的知識或典型行為,誘騙他們透露私人或敏感信息、點擊鏈接或打開可疑附件。
作為以人為中心的網絡安全方法的一部分,模擬釣魚攻擊,并在訓練后解釋模擬攻擊背后的心理學,向人們展示網絡罪犯將如何試圖操縱他們的思想和行動。通過這樣做,人們可以更好地了解網絡釣魚攻擊中可能包含的行為觸發因素。
引入心理元素,是一種將網絡培訓和內容聚焦于個人安全、而非組織安全的方式——潛在行為是相同的,只是呈現方式不同。研究發現,人們覺得這更有相關性,他們會更專注于這個話題,想知道更多。與此相結合,提倡網絡培訓的競爭性元素,通過排行榜來反映和獎勵那些發現可疑郵件并報告它們的人。
通過強調網絡犯罪的心理學因素,人們會認為網絡安全這個話題更加與自己相關和可獲得,這反過來幫助他們理解,在這種情況下,比他們認為的有更多的控制權。這是構建和維持網絡安全文化的核心部分,也是設計反映人類傾向和嵌入安全行為的策略和實踐的核心部分。
