與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險不斷演變，但對于CISO來說，有一個挑戰(zhàn)始終存在：管理人為錯誤。即使有先進(jìn)的解決方案和復(fù)雜的協(xié)議，員工仍然會無意中將敏感數(shù)據(jù)和系統(tǒng)暴露給網(wǎng)絡(luò)威脅。

　　根據(jù)Verizon 2024年的《數(shù)據(jù)泄露調(diào)查報(bào)告》(DIBR)，該報(bào)告分析了2023年創(chuàng)紀(jì)錄的30458起安全事件，其中包括10.626起確認(rèn)的泄露事件——比前一年增加了一倍。顯著的是，報(bào)告發(fā)現(xiàn)超過三分之二(68%)的事件歸因于人為因素，這就是為什么CISO必須了解員工在采取危及安全的行動時背后的錯誤原因。

　　正如Cyttraction的CISO Carolin Desirée Toepfer所指出的：“從網(wǎng)絡(luò)安全的角度來看，我們經(jīng)常忘記的是：我們與之合作的人有著完全不同的背景、不同的日常工作和不同的技術(shù)使用方式。”

　　通過了解影響員工行為的心理因素，CISO可以更好地推動真正的風(fēng)險意識并帶來持久的行為改變。大多數(shù)問題歸結(jié)為三個主要原因之一。

　　1. 他們不了解自己在防御中的角色

　　盡管進(jìn)行了培訓(xùn)，但許多員工并未完全理解需要保持警惕作為第一道防線。相反，他們認(rèn)為網(wǎng)絡(luò)安全是IT部門的責(zé)任，因此在保護(hù)數(shù)據(jù)方面變得松懈。正如網(wǎng)絡(luò)安全意識專家Itamar Shalev所解釋的：“他們對點(diǎn)擊可疑鏈接的警惕性不夠，因?yàn)樗麄兿嘈殴镜陌踩到y(tǒng)能夠阻止任何有害內(nèi)容的通過。”

　　解決這個問題的一種方法是改變安全培訓(xùn)的形式和頻率。Toepfer表示，這樣做將有助于更好地傳達(dá)保持一致警惕的重要性，并讓員工有效吸收每個課程，而不是一次性被大量信息淹沒。“不要一年只討論一次這個話題，或者強(qiáng)迫同事參加意識培訓(xùn)，而是通過不同的方式、不同的鏈接和不同的渠道每年五到六次展示網(wǎng)絡(luò)安全，”她說，并建議每隔幾周向員工展示時長為3-15分鐘的專門視頻。

　　相關(guān)的問題是，用戶往往不愿報(bào)告問題，因?yàn)樗麄兒ε略诓扇×宋＜肮景踩男袆雍髸媾R后果，這種通知延遲延長了惡意行為者造成嚴(yán)重?fù)p害的時間。根據(jù)Verizon的DBIR，企業(yè)平均需要55天來修補(bǔ)關(guān)鍵漏洞，這段時間可能導(dǎo)致嚴(yán)重的損失，包括昂貴的勒索軟件攻擊和公司聲譽(yù)的損害。

　　CISO可以通過進(jìn)一步培養(yǎng)每個人都認(rèn)識到自己在維護(hù)企業(yè)安全中的重要角色的文化來解決這個問題。與其通過點(diǎn)名羞辱來助長恐懼文化，CISO可以強(qiáng)調(diào)那些做出聰明安全決策并避免風(fēng)險的人，作為榜樣并將事件轉(zhuǎn)化為學(xué)習(xí)經(jīng)驗(yàn)。

　　2. 他們優(yōu)先考慮方便而不是安全

　　人們天生傾向于在工作中尋找最快的途徑，而這通常會為了方便而采取妥協(xié)安全的捷徑。即使是技術(shù)員工也不例外，例如，導(dǎo)入來自公共庫的庫，假設(shè)這些庫是安全的，但它們?nèi)匀挥糜趥鞑阂廛浖透`取密碼。

　　為了避免這些可能威脅系統(tǒng)的捷徑，CISO可以實(shí)施自動化的 MFA 提示，以避免由于密碼泄露帶來的風(fēng)險，并限制訪問可能使數(shù)據(jù)面臨風(fēng)險的服務(wù)，包括GenAI 或可下載的代碼庫。CISO應(yīng)提供一份安全替代方案列表，供公司的開發(fā)人員參考下載，這些替代方案已經(jīng)過掃描和認(rèn)證，不含惡意軟件。

　　3. 他們遭受警報(bào)疲勞

　　網(wǎng)絡(luò)安全顧問 Alexandre Blanc 解釋說，人類在處理重復(fù)性任務(wù)時往往會進(jìn)入自動駕駛模式，并忽略不斷出現(xiàn)的警報(bào)。詐騙者利用這一點(diǎn)，將網(wǎng)絡(luò)釣魚嘗試和其他攻擊插入員工經(jīng)常看到的數(shù)字消息中。

　　雖然可以對這些情況發(fā)出警報(bào)，但不斷的通知流會導(dǎo)致警報(bào)疲勞。員工學(xué)會忽略這些警報(bào)，可能會忽視真正威脅的警告。

　　Verizon 在其 DBIR 中指出，“最有效的控制措施通常是利用人類因素與技術(shù)資源相結(jié)合的控制措施。”好消息是，公司正在認(rèn)識到這一事實(shí)。因此，Shalev 表示，許多公司已經(jīng)開始應(yīng)用“行為科學(xué)技術(shù)，如提示和提醒，以鼓勵期望的安全行為。”這些提示可以促使員工在采取行動之前暫停并評估數(shù)字請求的合法性——而不會導(dǎo)致警報(bào)疲勞。

　　Blanc 建議向員工提供以下三個問題以進(jìn)行思考：

　　1. 為什么我會收到這條消息或信息請求?

　　2. 是我自己要求的嗎?

　　3. 我能通過其他渠道驗(yàn)證這個請求嗎?

　　用戶應(yīng)使用帶外通信進(jìn)行驗(yàn)證，以防止攻擊和詐騙。通過預(yù)先確定為合法的電話號碼或電子郵件聯(lián)系這些業(yè)務(wù)，是確定消息是否由其聲稱的實(shí)體授權(quán)的好方法。

　　雖然 CISO 無法完全消除所有人為風(fēng)險，但他們可以通過制定解決不良決策背后心理驅(qū)動因素的策略，顯著減少事件發(fā)生并促進(jìn)網(wǎng)絡(luò)安全意識文化的形成。通過建立透明且注重責(zé)任的文化，安全領(lǐng)導(dǎo)者可以培養(yǎng)參與度高且信息豐富的員工，使他們能夠作為網(wǎng)絡(luò)安全防御的第一道防線。