行业新闻与博客

2024 年欧洲信息安全大会 (Infosecurity Europe 2024) 上的专家表示，组织机构需要在意识培训之前注重改变安全行为。

KnowBe4 首席安全倡导者 Javvad Malik 解释说，缺乏知识并不是人为错误继续成为网络安全漏洞的主要因素的原因。

例如，大多数员工都被告知需要采用强密码。但仅仅在年度安全意识勾选培训课程中告诉他们需要做什么并不能带来必要的文化变革。

SoSafe 首席安全官 Andrew Rose 告诉Infosecurity：“我仍然认为，有太多组织认为他们只需要告诉人们需要做什么，然后他们就会去做。你需要创造更多东西来改变行为。”

创造行为改变的激励机制

员工需要感觉到他们充分参与了保护业务的过程——这是许多组织并不擅长的事情。

例如，马利克表示，许多组织没有以正确的方式进行网络钓鱼模拟。它可能被视为一种诱捕手段，而不是解释演习的目的和重要性。

罗斯认为，一种有效的方法是内化不进行意识培训的后果。

他指出：“他们需要明白，点击恶意软件可能会危及组织的声誉，这可能会影响他们的奖金，甚至可能导致项目被取消。”

让员工参与安全行为的另一种有效方法是将网络钓鱼模拟等练习游戏化。

Fleet Mortgages 安全与技术总监 Erhan Temurkan 告诉Infosecurity，他使用排行榜来展示最积极参与安全工作的团队和个人，例如网络钓鱼模拟，并将这些信息反馈回企业。

“这让员工感觉自己也参与到了确保企业安全的旅程中，”他解释道。

马利克还强调了为员工提供强有力的安全保障的重要性——确保员工的良好行为不是一个耗时的过程。

这包括设置流程以在适当的时间推送自动安全消息 - 例如询问他们是否愿意对插入笔记本电脑的设备进行安全扫描。

“仅在他们需要的时候提供培训，”马利克说。

通过同侪压力推动文化变革

安全文化变革必须由组织高层推动。但是，由中层管理人员推动，将安全信息从同级员工传授给本地员工也很重要。

罗斯说，如果你看到周围的人也遵守安全行为规范，你就更有可能改变自己的安全行为，这样就能形成一种自我维持的文化。

安全冠军——对网络安全充满热情并在团队中传播信息的普通员工——是建立同伴压力的重要方式。

这些人还可以谈论特定团队背景下的后果——例如点击恶意软件文件可能对该团队的工作造成的损害。

罗斯指出，安全冠军还为安全团队提供了有用的反馈回路，帮助他们针对不同部门调整安全政策和流程。

“他们可以回过头来说明一项政策在他们的团队中是否不起作用以及原因，”他概述道。