行业新闻与博客

ThinkCyber 根据在 2024 年欧洲信息安全大会 (Infosecurity Europe 2024) 上进行的一项调查得出的报告显示，一半的员工担心如果报告安全错误会遭到组织的报复。

只有 51% 的受访者表示，他们认为企业中的大多数人都关注安全，39% 的受访者表示，他们认为只有高管和安全团队关注这一领域。

网络专业人员最关心的员工行为是：

• 点击钓鱼电子邮件中的恶意链接（53%）
• 与企业外部共享公司数据（53%）
• 共享用户名和密码（51%）

网络意识培训效果不佳

该报告还强调了网络安全专业人士对安全意识培训对改变员工行为的影响的重大担忧。

四分之一的受访者表示，他们怀疑同事是否会因为当前的安全意识培训而改变行为，而 42% 的受访者承认，他们的组织无法证明他们当前的安全意识培训是否正在改变危险行为。

约有一半（49%）的受访者还指出，他们的企业没有识别实施危险行为的用户群体的机制。

此外，近三分之二（60%）的受访者表示，培训仅每隔几个月甚至每年提供一次。

如何提高安全意识培训

ThinkCyber 强调了有针对性、情境化的培训的重要性，确保培训与个别员工相关。

ThinkCyber 首席执行官 Tim Ward 评论道：“通过在即将采取危险行动的那一刻进行干预，人们更有可能了解其行动的具体危险和后果。这种及时的干预确保教训不是抽象或理论性的，而是扎根于现实世界，使其更具影响力。”

CultureAI 也提倡采用有针对性的干预措施来改变安全行为，并将人力风险管理 (HRM) 这一新兴领域强调到了信息安全领域。

沃德补充说，组织需要找到衡量培训计划行为影响的方法，这也可以确定哪些用户群体需要额外的帮助。

调查的另一个发现是，组织需要提供更短但更定期的培训环节。超过三分之二 (70%) 的受访者表示，他们希望保持知识的新鲜感，而少量多次的培训对他们来说很有效。