行業新聞與博客

2024 年歐洲信息安全大會 (Infosecurity Europe 2024) 上的專家表示，組織機構需要在意識培訓之前注重改變安全行為。

KnowBe4 首席安全倡導者 Javvad Malik 解釋説，缺乏知識並不是人為錯誤繼續成為網絡安全漏洞的主要因素的原因。

例如，大多數員工都被告知需要採用強密碼。但僅僅在年度安全意識勾選培訓課程中告訴他們需要做什麼並不能帶來必要的文化變革。

SoSafe 首席安全官 Andrew Rose 告訴Infosecurity：“我仍然認為，有太多組織認為他們只需要告訴人們需要做什麼，然後他們就會去做。你需要創造更多東西來改變行為。”

創造行為改變的激勵機制

員工需要感覺到他們充分參與了保護業務的過程——這是許多組織並不擅長的事情。

例如，馬利克表示，許多組織沒有以正確的方式進行網絡釣魚模擬。它可能被視為一種誘捕手段，而不是解釋演習的目的和重要性。

羅斯認為，一種有效的方法是內化不進行意識培訓的後果。

他指出：“他們需要明白，點擊惡意軟件可能會危及組織的聲譽，這可能會影響他們的獎金，甚至可能導致項目被取消。”

讓員工參與安全行為的另一種有效方法是將網絡釣魚模擬等練習遊戲化。

Fleet Mortgages 安全與技術總監 Erhan Temurkan 告訴Infosecurity，他使用排行榜來展示最積極參與安全工作的團隊和個人，例如網絡釣魚模擬，並將這些信息反饋回企業。

“這讓員工感覺自己也參與到了確保企業安全的旅程中，”他解釋道。

馬利克還強調了為員工提供強有力的安全保障的重要性——確保員工的良好行為不是一個耗時的過程。

這包括設置流程以在適當的時間推送自動安全消息 - 例如詢問他們是否願意對插入筆記本電腦的設備進行安全掃描。

“僅在他們需要的時候提供培訓，”馬利克説。

通過同儕壓力推動文化變革

安全文化變革必須由組織高層推動。但是，由中層管理人員推動，將安全信息從同級員工傳授給本地員工也很重要。

羅斯説，如果你看到周圍的人也遵守安全行為規範，你就更有可能改變自己的安全行為，這樣就能形成一種自我維持的文化。

安全冠軍——對網絡安全充滿熱情並在團隊中傳播信息的普通員工——是建立同伴壓力的重要方式。

這些人還可以談論特定團隊背景下的後果——例如點擊惡意軟件文件可能對該團隊的工作造成的損害。

羅斯指出，安全冠軍還為安全團隊提供了有用的反饋迴路，幫助他們針對不同部門調整安全政策和流程。

“他們可以回過頭來説明一項政策在他們的團隊中是否不起作用以及原因，”他概述道。