网络安全的核心往往被视作技术问题。具体而言,人们关注的是网络罪犯如何利用技术发起攻击,以及组织可以采用哪些工具来确保系统和数据的安全。然而,这种观点忽视了网络安全风险中一个至关重要的因素:人为错误。
在网络安全领域,人为风险不容小觑。根据Proofpoint公司发布的《2024年首席信息安全官之声》报告,有74%的首席信息安全官(CISO)认为人为错误是他们面临的最大网络安全风险。这一数据相较于去年,有60%的CISO表达了相同的观点,显示出显著的增长。研究还揭示了CISO与董事会之间的一个关键分歧。董事会成员中有63%的人认为人为错误的可能性低于CISO的评估,这暗示了CISO们需要更加重视领导力的培养和员工教育。
调查中,数据丢失事件的几个主要原因与员工直接相关。排在首位的原因(42%)是内部人员或员工的疏忽,例如滥用数据。其他原因包括恶意或犯罪内部人员(36%)、员工凭证被盗(33%)以及设备丢失或被盗(28%)。
IBM的2024威胁指数也支持这一发现,指出30%的攻击源自网络钓鱼。尽管网络钓鱼攻击的数量和作为初始攻击向量的比例较2022年有所下降,但报告强调,持续采用和重新评估网络钓鱼缓解技术和策略是减少攻击的原因之一。
虽然个人可能确实犯了导致数据泄露的错误,但这些错误并不总是个人的过失——除非涉及内部犯罪分子。组织必须采取积极主动的网络安全策略,包括提供培训,使员工能够学习安全实践,并建立降低风险的流程。
为了减少员工在网络安全方面的失误,企业必须采取全面的方法,创造一种网络安全文化,并赋予每位员工将网络安全视为自己责任的权力。
以下是解决网络安全中人为风险的三种策略:
1. 利用人工智能工具来预防人为错误
由于人工智能工具能够预测人类可能的行为,它们在防范网络安全中的人为风险方面尤为有效。Proofpoint的报告发现,全球有87%的首席信息安全官正在寻求部署人工智能功能,以帮助防范人为错误和以人为中心的高级网络威胁。
2. 提供全面且持续的员工培训
尽管许多公司提供培训,但这些培训往往是形式化的,并不能真正改变行为或将网络安全置于优先地位。在设计培训计划时,应采取全面的方法,考虑哪些员工需要哪种类型的培训。首先回顾过去的事件,以确定哪些主题最为重要,例如员工在最近的过去多次点击网络钓鱼尝试。公司应考虑每月定期的迷你模块,而不是一年一度的培训,以确保员工持续关注这些话题。此外,将网络安全培训作为新员工入职流程的一部分,确保每位员工在加入公司时都掌握相同的信息。
3. 建立网络安全文化
员工往往认为网络安全是别人的工作。然而,要降低人为风险,首先需要改变这种观念,让每位员工都感到自己对网络安全负有责任。虽然培训是这一转变的关键部分,但还需要在整个公司中保持网络安全的优先地位。网络安全文化应从高层开始,每个领导者都应谈论网络安全并强调其重要性。
优先考虑网络安全中的人为风险
网络安全既始于人,也终于人——制造攻击的人和有能力阻止攻击的人。通过关注网络安全中的人为因素,组织可以显著降低风险。然而,改变并非一蹴而就,也不是通过一次训练或几个月就能实现的。组织必须将这一战略视为一种长期的方法,旨在让每位员工都意识到他们在组织的网络安全中扮演着重要角色。
发表评论 取消回复