2019年10月18日
人常被認為是信息安全中的 “最弱一環”。但公司企業一直以來都依賴技術安全控制的有效性,而未試圖理解為什么人總容易犯錯和被操縱。很明顯,我們需要一種新方法,一種能幫助企業理解和管理心理漏洞,進而采用將人類行為也考慮進去的技術和控制措施。
該新方法就是以人為中心的安全。
以人為中心的安全始于理解人類及其與技術、控制和數據的互動。通過識別員工一天中 “觸及” 數據的時段和方式,公司企業可發現心理相關過失的觸發條件,而這些過失都是可能導致安全事件的。
多年來,攻擊者一直在用心理操控方法迫使人們犯錯。攻擊技術在數字時代持續進化,復雜度、速度和規模均有增加。了解到底是什么觸發了人為錯誤,可以幫助企業做出信息安全方法上的巨大轉變。
識別人員漏洞
以人為中心的安全承認員工每天都通過一系列觸點與技術、控制和數據交互。這些觸點可能是數字的、實體的,或者口頭的。員工需在此類交互中做出決策。然而,人類有很多漏洞可能導致決策錯誤,對公司造成負面影響,比如對外發送包含敏感數據的電子郵件、被人尾隨進入公司限制區域,或者在火車上討論公司并購問題。這些錯誤也可被投機黑客用于惡意目的。
某些情況下,公司企業可以設置預防性控制措施緩解出錯,比如禁止員工向外發送電子郵件、加密筆記本電腦,或設置實體屏障。但錯誤總會發生,尤其是時間很緊張,或者員工為了更高效地完成任務而決意違反或無視此類控制措施的時候。壓力加大的時候錯誤也會浮現。
若能識別基本人員漏洞,理解人類心理機制,了解哪些東西會觸發危險行為,公司企業就會開始理解為什么員工會犯錯,然后更有效地管理此類風險。
利用人員漏洞
人類心理弱點為攻擊者呈現了影響并利用企業員工為自己謀利的機會。自人類踏入數字時代以來,攻擊者利用心理操控的方式就沒變過,但攻擊技術卻是越來越高端、廉價和影響廣泛,使攻擊者得以有效針對個人或攻擊相當廣闊的范圍。
攻擊者利用來自互聯網和社交媒體源的大量免費信息,樹立可信人物角色和背景,與目標建立起友好關系。該信息被小心謹慎地用于對目標施加壓力,觸發后續啟發式決策響應。攻擊者還會用各種攻擊技術迫使目標進入特定認知偏差,造成可預測的錯誤。然后這些錯誤就會為攻擊者所用了。
可被用于操縱人類行為的心理學方法有很多,攻擊者可用來影響認知偏差的其中一種就是社會權力。
很多攻擊技術都采用這種社會權力方法來利用人員漏洞。攻擊技術可以是高度針對性的,也可以是大范圍施展的,但它們通常都包含用于喚起認知偏差的觸發器,造成可預測的錯誤。非針對性的 “廣撒網” 式攻擊仰賴一小部分用戶點擊惡意鏈接,而更復雜的社會工程攻擊則更為成功,也越來越流行。攻擊者已經意識到對人下手遠比攻擊技術基礎設施要簡單得多了。
攻擊技術利用社會權力觸發認知偏差的方式隨場景不同而變化。某些情況下,一封電子郵件就足以觸發能達到所需效果的認知偏差。其他情況下,攻擊可能會在某段時期內用多種技術逐漸操縱目標。保持不變的是攻擊都是精心構建且復雜的。通過摸清攻擊者采用社會權力等心理學方法觸發認知偏差并迫使出錯的途徑,公司企業可以解構并分析現實世界事件,識別其根源,然后投入最有效的緩解措施。
信息安全項目想要轉向以人為中心,公司企業必須意識到認知偏差及其對決策的影響。他們應承認認知偏差既存在于正常工作環境,也可由攻擊者采用精心編制的技術操縱而起。然后就可以開始重塑信息安全項目,改善人員漏洞管理,保護雇員不受脅迫性和操縱性攻擊的影響。
管理人員漏洞
人員漏洞可致嚴重影響企業聲譽,甚或帶來人身安全風險的錯誤。公司企業可采取多種方法強化信息安全項目,緩解人員漏洞風險,比如采納更以人為中心的安全意識培育方法,設計覆蓋人員行為的安全控制與技術,提升工作環境以降低員工承壓的影響等。
審查當前安全文化和對信息安全的接受度,可使企業明確看出哪種認知偏差正在影響公司。提升對人員漏洞及其利用技術的認知,據此設計更以人為中心的安全意識培訓,涵蓋不同人員類型,應成為強化任何信息安全項目的基本元素。
擁有以人為中心的成功安全項目的公司企業,其信息安全和人力資源部門之間往往高度重合。高級職員與初級雇員之間有力的指導網絡,結合工作日和工作環境的結構性改善,應有助于減少不必要的壓力,防止觸發影響決策的認知偏差。
發展導師和學員間的良好關系,構建知識與理解之間的平衡。營造能夠減少壓力、疲累、職業倦怠和不良時間管理的工作環境與工作-生活平衡,大幅削減出錯概率。最后,考慮工作空間與環境的改善或增強如何降低對員工的壓力。考慮對員工而言什么才是最適合的工作環境,因為可選項很多,比如在家工作、遠程工作,或者現代化辦公空間、工廠或戶外場合。
將最弱一環打造成最強資產
深層心理弱點意味著人既容易犯錯,又容易受操縱性和脅迫性攻擊的影響。錯誤和操縱如今構成了安全事件的主因,所以,風險是深層次的。通過幫助員工理解這些弱點如何導致不良決策和失誤,公司企業可以有效管控內部人無心之失的風險。而要達到這種效果,就需要全新的信息安全方法。
以人為中心的安全方法可以幫助公司企業大幅降低認知偏差的影響,減少出錯。企業可通過識別認知偏差和常見行為觸發器及攻擊技術,往自己的安全意識項目中引入相應的心理培訓。校準技術、控制和數據可以解釋人類行為,而提升工作環境可以減輕壓力。
一旦從心理層面上理解了信息安全,公司企業就能更好地應對人員漏洞所致風險的管理和緩解工作。以人為中心的安全將助力公司企業將最弱一環轉變為最強資產。
江蘇國駿為您提供全面可信的信息安全服務
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
