网络安全的新支点:以人为本 | 重视网安意识宣贯
网络安全行业长期以来最大的误区是将“人”看作是体系中最薄弱的环节,试图用技术来压制或修复“人的漏洞”。
根据Verizon的《2023年数据泄露调查报告》,2023年68%的网络攻击事件由“人为因素”导致,虽然比2022年的74%有所下降,但仍是最主要的威胁来源。然而,专家指出,以“技术压制人为失误”的错误思路并未帮助企业实现真正的网络安全能力提升。
什么是网络安全的“以人为本方法”?
为摆脱困境,美国国家标准与技术研究院(NIST)提出了一种全新的“以人为中心的网络安全”(Human-Centric Cybersecurity,简称HCC)理念,强调以用户为核心,从设计到实施都充分考虑用户需求和行为习惯,激励安全行为。
NIST定义的HCC大致包括员工对网络安全的态度、安全意识培训、安全产品的可用性以及政策的制定。
HCC的目标不仅在于技术解决方案,更在于改变网络安全文化,通过对用户友好的安全设计与政策,使员工成为企业网络安全的合作伙伴,而非负担。
让人成为安全体系的核心
HCC并非仅仅强调用户友好,而是要让“人”成为安全体系的核心。NISTHCC项目负责人朱莉·哈尼指出:“如果不考虑人的因素,安全解决方案就难以使用,员工会倾向于犯错、作出冒险决定,甚至采用不安全的变通办法,只为完成工作。”
为推动HCC发展,NIST最近成立了“以人为中心的网络安全利益社区”,汇集实践者、学者和政策制定者,共同探讨如何让网络安全变得更有效且更具用户友好性。与此同时,企业领域也在采纳HCC理念。
根据Gartner的预测,到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的网络安全实践。Gartner提出的安全行为与文化计划(SBCP)将HCC提升为顶级网络安全趋势,主张通过模拟威胁、自动化工具和数据分析来帮助用户作出安全决策,同时奖励员工报告潜在的安全事件。
Gartner高级分析师维多利亚·卡森强调:“人不是静态的对象。他们的行为、需求和动机都在变化。以人为本的网络安全需要满足员工的这些需求,而不是单纯地告诉他们该做什么。”
SBCP的主要步骤包括威胁模拟、添加自动化和数据分析以帮助用户做出安全选择、奖励报告潜在安全事件的员工以及跟踪指标以证明SBCP的实际效果。根据Gartner的数据,近一半专注于SBCP的公司正在采取上述每一步。
最大限度地减少网络安全引发的摩擦不仅可以改善公司的安全态势,还可以减轻传统对抗性工作带来的压力。Gartner预计,一半的网络安全领导者将在2023年至2025年期间换工作,其中四分之一的离职者实际上是由于压力而永久离开该行业。
传统安全意识培训的进化方向
传统的安全意识培训主要依赖年度或季度课程,但这种模式往往只是“走过场”,未能真正解决员工行为背后的根本问题。Gartner的PIPE框架(实践、影响、平台和支持)提供了更全面的解决方案,例如利用身份与访问管理(IAM)工具、生成式AI和行为分析技术,提升用户的参与度与安全行为的效率。
此外,新的“人员风险管理”(Human Risk Management)服务成为HCC实践中的重要产品类别。这种服务超越了传统的安全培训,将重点放在教育员工的同时,通过行为分析减少风险。例如,通过追踪重复错误的员工行为,不是惩罚,而是识别培训不足或流程问题,从而推动改进。
改变文化:将“最弱环节”转变为“合作伙伴”
员工担心自己可能成为网络攻击的“漏洞”。根据安永会计师事务所的调查,34%的员工担心自己的行为会让企业暴露在风险中。NIST指出,企业应将这种担忧转化为积极的行动支持,而非简单地在安全事件发生后责怪员工。
“如果有人点击了钓鱼链接,组织往往把所有责任归咎于员工,却忽视了企业在流程、政策甚至工具方面可能存在的问题,”哈尼表示。她建议,网络安全团队应努力与员工建立合作关系,通过对话发现问题,赋予员工报告权限,从而更早地发现潜在风险。
“以人为本”成为网络安全的核心支柱
美国政府2023年底发布的《联邦网络安全研究与发展计划》将HCC列为优先事项,强调减轻人类在网络安全中的负担并提升技术的可用性。这不仅表明了政策层面对HCC的支持,也凸显出企业需要加速行动的紧迫性。
总之,“以人为本”将不仅仅是网络安全的补充理念,而会成为其核心支柱。通过更好地理解用户行为,设计友好的安全工具,并构建支持性文化,“以人为本”有望成为未来网络安全发展的重要驱动力和关键支点。
无论是高层领导还是基层员工,都可能因为一些疏忽行为“出卖”企业。最可怕的是,很多案例在被发现时为时已晚,对企业早已产生巨大伤害。
既然内部员工的网络安全意识直接影响到企业以及组织的安全防护能力,那么提升全员安全意识理应成为企业的必要工作。
网络安全意识的提升涉及多个方面,针对不同场景、不同人群也有不同的侧重。需要综合考虑企业的办公文化、物理环境特点、员工办公习惯和喜好等因素,形成体系化的安全意识教育方案,如:
1、制定网安宣教目标
2、确定教育对象的范围
3、确定向员工宣教的知识点与具体内容
4、确定宣教的表现形式或教育方式
5、制定具体的意识宣教计划
6、在特定时间节点总结评估
7、根据效果进行方案改进
网安文化
北京承制科技有限公司
在刚刚过去的2024年,承制科技协助数众多企业完成了多渠道、多层次、全方位的网络安全宣传教育实施工作。在项目实施过程中,承制科技准确把控客户需求时间节点并从需求沟通、方案设计、定制开发等方面多维度和客户进行充分的沟通,尽可能满足客户在常态化宣贯及宣传周活动现场布展、宣贯的所有需求,确保把解决客户的问题放在第一位。
2025年,如果您想定制专属于您企业的网安意识宣贯方案,欢迎您了解承制科技网络安全意识服务目录。承制科技具备丰富的网络安全宣传周策划及实施经验,曾为多家央企、政企、大型制造企业等各行业客户服务。凭借承制优质的服务理念及多样化、定制化的产品,收获了客户的大量好评。
扫码获取
网安意识培训样例
服务电话/微信:13810396860
