行業新聞與部落格

ThinkCyber 根據在 2024 年歐洲資訊保安大會 (Infosecurity Europe 2024) 上進行的一項調查得出的報告顯示，一半的員工擔心如果報告安全錯誤會遭到組織的報復。

只有 51% 的受訪者表示，他們認為企業中的大多數人都關注安全，39% 的受訪者表示，他們認為只有高管和安全團隊關注這一領域。

網路專業人員最關心的員工行為是：

• 點選釣魚電子信箱中的惡意連結（53%）
• 與企業外部共享公司資料（53%）
• 共享使用者名稱和密碼（51%）

網路意識培訓效果不佳

該報告還強調了網路安全專業人士對安全意識培訓對改變員工行為的影響的重大擔憂。

四分之一的受訪者表示，他們懷疑同事是否會因為當前的安全意識培訓而改變行為，而 42% 的受訪者承認，他們的組織無法證明他們當前的安全意識培訓是否正在改變危險行為。

約有一半（49%）的受訪者還指出，他們的企業沒有識別實施危險行為的使用者群體的機制。

此外，近三分之二（60%）的受訪者表示，培訓僅每隔幾個月甚至每年提供一次。

如何提高安全意識培訓

ThinkCyber 強調了有針對性、情境化的培訓的重要性，確保培訓與個別員工相關。

ThinkCyber 執行長 Tim Ward 評論道：“透過在即將採取危險行動的那一刻進行干預，人們更有可能瞭解其行動的具體危險和後果。這種及時的干預確保教訓不是抽象或理論性的，而是紮根於現實世界，使其更具影響力。”

CultureAI 也提倡採用有針對性的干預措施來改變安全行為，並將人力風險管理 (HRM) 這一新興領域強調到了資訊保安領域。

沃德補充說，組織需要找到衡量培訓計劃行為影響的方法，這也可以確定哪些使用者群體需要額外的幫助。

調查的另一個發現是，組織需要提供更短但更定期的培訓環節。超過三分之二 (70%) 的受訪者表示，他們希望保持知識的新鮮感，而少量多次的培訓對他們來說很有效。