人通常被认为是信息安全中的“最薄弱环节”。但公司历来依赖技术安全控制的有效性,而没有试图理解为什么人类如此容易犯错和被操纵。显然,我们需要一种新方法,帮助公司了解和管理心理漏洞,然后采用将人类行为考虑在内的技术和控制措施。这种新方法是以人为本的安全。以人为本的安全性始于了解人类及其与技术、控制和数据的交互。通过识别员工全天何时以及如何“接触”数据,组织可以识别可能导致安全事件的心理相关错误的触发因素。多年来,攻击者一直使用心理操纵来迫使人们犯错。攻击技术在数字时代不断发展,其复杂性、速度和规模都在不断提高。了解究竟是什么触发了人为错误可以帮助组织彻底改变其信息安全方法。识别人为漏洞以人为本的安全性认识到员工每天通过一系列接触点与技术、控制和数据进行交互。这些接触点可能是数字的、物理的或口头的。员工需要在这些互动中做出决定。然而,人类存在许多漏洞,可能会导致错误的决策,从而对公司产生负面影响,例如发送包含敏感数据的电子邮件、被跟踪进入受限制的公司区域,或者在火车上讨论公司并购。这些错误也可能被机会主义黑客用于恶意目的。在某些情况下,组织可以通过实施预防性控制来减少错误,例如禁止员工发送电子邮件、加密笔记本电脑或设置物理障碍。但错误还是会发生,尤其是在时间紧迫或员工为了更高效地完成任务而决心违反或忽视此类控制时。当压力增加时,错误就会浮出水面。通过识别基本的人类弱点、了解人类心理并了解触发风险行为的原因,组织可以开始了解员工犯错的原因,然后更有效地管理这些风险。利用人的弱点人的心理弱点为攻击者提供了影响和利用组织员工谋取私利的机会。自人类进入数字时代以来,攻击者使用心理操纵的方式没有改变,但攻击技术变得越来越复杂、廉价和广泛,使攻击者可以有效地针对个人或进行相当广泛的攻击。攻击者使用来自互联网和社交媒体资源的大量免费信息来建立可信的角色和背景,并与目标建立友好关系。此信息被谨慎地用于向目标施加压力,触发后续的启发式决策响应。攻击者还使用各种攻击技术迫使目标进入特定的认知偏差,从而导致可预测的错误。然后攻击者可以利用这些错误。有许多心理学方法可以用来操纵人类行为,攻击者可以用来影响认知偏差的方法之一就是社会权力。许多攻击技术采用这种社会权力方法来利用人类的弱点。攻击技术可能具有很强的针对性或广泛性,但它们通常包含引发认知偏差的触发器,从而导致可预测的错误。非针对性的“传播网络”攻击依赖于一小部分用户点击恶意链接,而更复杂的社会工程攻击更成功并且越来越受欢迎。攻击者已经意识到攻击人比攻击技术基础设施要容易得多。攻击技术利用社会力量触发认知偏差的方式因场景而异。在某些情况下,一封电子邮件就足以引发认知偏差,从而达到预期的效果。在其他情况下,攻击可能会在一段时间内使用多种技术逐渐操纵目标。保持不变的是,这些攻击是精心设计和复杂的。通过了解攻击者如何使用社会力量等心理方法来引发认知偏差和强迫错误,组织可以解构和分析现实世界的事件,找出其根本原因,然后投资于最有效的缓解措施。为了使信息安全计划转向以人为本的方法,组织必须意识到认知偏差及其对决策的影响。他们应该承认,认知偏差既存在于正常工作环境中,也可能被攻击者使用精心设计的技术所操纵。然后,您可以开始重塑您的信息安全计划,以改进人为漏洞管理并保护员工免受强制和操纵性攻击。管理人员漏洞人员漏洞可能导致失误,严重影响企业声誉,甚至带来人身安全风险。企业可以采取多种方法加强信息安全项目,降低人员漏洞风险,例如采取更加以人为本的方式培养安全意识,设计覆盖人员行为的安全控制和技术,改善工作环境等。减少员工压力的影响等。检查当前的安全文化和对信息安全的接受度可以让组织清楚地了解哪些认知偏见正在影响公司。提高对人类漏洞及其利用技术的认识,并相应地设计更多以人为本的安全意识培训,涵盖不同类型的人员,应该是加强任何信息安全计划的基本要素。具有成功的以人为本的安全计划的组织通常在其信息安全和人力资源部门之间有高度的重叠。高级和初级员工之间强大的指导网络,结合工作日和工作环境的结构改进,应该有助于减少不必要的压力,并防止引发影响决策的认知偏差。在导师和学员之间建立良好的关系,以在知识和理解之间建立平衡。创造一个工作环境和工作与生活的平衡,减少压力、疲劳、倦怠和时间管理不善,大大减少犯错误的机会。最后,考虑改进或增强工作空间和环境如何减轻员工的压力。考虑什么是最适合您员工的工作环境,因为有很多选择,例如在家工作、远程工作或现代办公空间、工厂或户外地点。把你最薄弱的环节变成你最强大的资产深层的心理弱点意味着人类既容易犯错,又容易受到操纵和胁迫的攻击。错误和操纵现在是安全事件的主要原因,因此风险很大。通过帮助员工了解这些弱点如何导致错误的决策和错误,组织可以有效地管理疏忽内部人员的风险。实现这种效果需要一种新的信息安全方法。以人为本的安全方法可以帮助组织显着减少认知偏差的影响并减少错误。组织可以通过识别认知偏差和常见的行为触发因素和攻击技术,将心理培训纳入其安全意识计划。协调技术、控制和数据可以解释人类行为,同时改善工作环境可以减轻压力。一旦从心理层面理解了信息安全,组织就能更好地管理和减轻人类漏洞带来的风险。以人为本的安全将帮助组织将最薄弱的环节变成最强大的资产。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
