AwareGo的行为科学专家MaiaBada博士在Infosecurity‖Europe2022第2天的主题演讲中表示,使用最终用户行为分析来增强员工的网络安全意识计划是对抵御网络威胁至关重要。重要的。根据Bada的说法,85%的成功网络攻击是由于用户遭受了网络钓鱼等社会工程攻击。尽管如此,组织往往过分关注技术和流程,而不是人为因素。“我们还需要识别、衡量和补救人类风险因素,”她说。COVID-19大流行加剧了这个问题,例如在不安全的网络上工作和增加个人设备的使用。因此,加强对员工的网络安全意识培训显得尤为重要。这种培训应该对员工行为产生长期影响,包括态度和心态。“这是一个漫长的过程,不是一次性的训练,”巴达评论道。组织经常使用的一种方法是网络钓鱼模拟,但这些方法经常被错误使用,导致安全疲劳和恐惧等问题。例如,Bada举了一个案例,其中一个组织的员工将所有电子邮件视为网络钓鱼,拒绝打开或回复进入他们收件箱的任何内容。一个主要的挑战是评估意识培训的有效性并了解其在改变组织文化方面的有效性。这样,公司就可以根据员工的不同关注点,定制个性化的培训计划。例如,为人力资源、财务和安全等不同部门量身定做。根据Bada的说法,分析表明,人们应该设法提供有关四个关键评估指标的见解:·培训前、培训期间和培训后的效率·知识、行为和文化的获取·提供组织可以用来改进计划和政策的可行见解·它的相关性、参与性和教育性Bada说实现这一目标的最佳方法是通过最终用户行为分析。这可以识别日常行为模式和员工的弱势群体。然后,她重点介绍了一项针对160名网络安全领导者的AwareGo调查,询问他们有关其组织的意识培训实践。结果发现,62%的公司正在开展意识培训计划。进行规划的最大原因是合规性(72%),其次是管理层的战略决策(58%)。令人担忧的是,只有13%的受访者提到提高了安全意识。这表明培训通常是一种勾选式练习,旨在履行法律和公司义务。Bada概述说,该研究进一步表明需要一种“超越合规性和网络钓鱼意识的以人为本的方法”。她总结道:“人是第一道也是最后一道防线,我们需要加强每个公司的人力防火墙。》原标题:关注终端用户行为以增强安全作者:JamesCoker链接:https://www.infosecurity-magazine.com/news/end-user-behaviors-security/
