人们普遍认为人是信息安全的“最薄弱环节”。然而,从历史上看,组织总是依赖于技术安全控制的有效性,而不是试图理解为什么人们容易犯错和被操纵。显然,需要一种新的方法;它可以帮助组织理解和管理心理脆弱性,并采用专门为人类行为设计的技术和控制。
(资料图片仅供参考)
这种新方法是以人为本的安全。
以人为本的安全始于理解人及其与技术、控制和数据的交互。通过了解人们如何以及何时在整个工作日“接触”数据,组织可以发现心理错误可能会导致安全事件。
多年来,攻击者一直在利用心理操纵迫使人类犯错。攻击技术在数字时代得到了发展,其复杂性、速度和规模都在不断提高。了解人为错误的原因将有助于组织改变其信息安全方法。
识别人为漏洞
以人为本的安全意识意味着员工可以在任何一天通过一系列接触点与技术、控制和数据进行交互。这些接触点可以是数字的、物理的或口头的。在这个互动的过程中,人类将需要做出决定。然而,人类存在一系列漏洞,可能导致决策失误,从而给组织带来负面影响,比如向外界发送包含敏感数据的电子邮件、让尾门进入大楼或在火车上讨论公司收购。这些错误也可能被机会主义攻击者用于恶意目的。
在某些情况下,组织可以采取预防性控制措施来减轻所犯的错误,例如阻止员工从外部发送电子邮件、对笔记本电脑进行强加密或设置物理屏障。然而,错误仍然可以解决,尤其是如果个人决定颠覆或忽略这些类型的控制,以便更有效地完成任务,或者如果时间有限。当压力或压力增加时,也可能显示错误。
通过识别人类的基本弱点,了解心理学的工作原理和风险行为的原因,组织可以开始理解为什么员工可能会犯错,并开始更有效地管理风险。
利用自己的弱点
心理弱点为攻击者提供了影响和利用人的优势的机会。人类进入数字时代以来,攻击者使用的心理操控手段并没有改变,但攻击技术更加先进、性价比更高、可扩展性更强,使得攻击者能够有效针对个人或进行大规模攻击。
1攻击者利用越来越多来自网络和社交媒体来源的免费信息,建立可信的人物和背景故事,从而与目标建立信任和和谐的关系。谨慎地使用这些信息来增加对目标的压力,然后触发启发式决策响应。技术被用来迫使目标使用特定的认知偏差,从而导致可预测的错误。攻击者然后可以利用这些错误。
1有几种心理学方法可以用来操纵人类行为。攻击者可以用来影响认知偏见的一种方法是社会力量。
1有许多攻击技术利用社会力量来利用人类的弱点。攻击可以有高度针对性或大规模实施,但它们通常包含旨在引起特定认知偏差的触发器,从而导致可预测的错误。虽然没有针对性,“喷和祈祷”攻击依赖于少数点击恶意链接的收件人,而更复杂的社会工程攻击越来越普遍和成功。攻击者已经意识到,以人为目标比试图攻击技术基础设施要容易得多。
1在这两种情况下,攻击技术利用社会力量触发认知偏差的方式会有所不同。在某些情况下,一封电子邮件可能足以引发一种或多种认知偏见,从而产生理想的结果。在其他情况下,攻击可能会使用各种技术在一段时间内逐渐操纵目标。一直以来,攻击都是经过精心构建和完善的。通过了解攻击者如何使用社交技能等心理方法来触发认知偏差和强迫性错误,组织可以解构和分析真实事件,找出根本原因,并投资于最有效的缓解措施。
1为了使信息安全计划更加以人为本,组织必须意识到认知偏差及其对决策的影响。他们应该承认,正常的工作条件可能会导致认知偏差,攻击者会为了自己的利益,使用精心设计的技术来操纵这些技术。然后,组织可以开始重新解决信息安全计划,以改善对人类漏洞的管理,并保护其员工免受一系列胁迫和操纵攻击。
1管理人为漏洞
1人的脆弱性可能导致错误,这将严重影响组织的声誉,甚至危及生命。组织可以通过采用更以人为本的方法来提高其安全意识,设计安全控制措施和技术来应对人类行为,并改善工作环境以减少压力或压力的影响,从而加强信息安全计划并降低人类脆弱性的风险。劳动力的压力。
1回顾当前的安全文化和对信息安全的看法,应该使组织能够有效地指出哪些认知偏见正在影响组织。增强对人类漏洞和攻击者利用漏洞的技术的了解,然后定制更多以人为中心的安全意识培训,以解决不同用户群体的问题,这应该是增强任何信息安全计划的基本要素。
1拥有成功的以人为本的安全计划的组织通常在信息安全和人力资源职能之间有很大的重叠。促进高级和初级员工之间的强大指导网络,以及改善工作日结构和工作环境,应有助于减少不必要的压力,这将导致影响决策的认知偏见。
20、在导师和学生之间建立有意义的关系,在知识和理解之间建立平衡。创造一个工作环境,平衡工作和生活,减少压力、疲劳、倦怠和糟糕的时间管理,会大大增加出错的可能性。最后,考虑如何改善或加强工作空间和环境,以减轻劳动压力或压力。考虑什么对劳动力最有利。
2工作环境,因为可能有很多选择,比如在家工作;远程工作;或现代办公空间、工厂或户外场所。
2从最弱的环节到最强的资产,
2潜在的心理脆弱性
2以人为中心的安全方法可以帮助组织显着减少导致错误的认知偏见的影响。通过发现最常见的认知偏差,行为触发因素和攻击技术,可以将量身定制的心理训练引入组织的意识运动中。可以对技术,控制和数据进行校准以解决人类行为,同时改善工作环境可以减轻压力和压力。
2一旦从心理学的角度理解了信息安全,组织将为管理和减轻人为漏洞带来的风险做好准备。以人为本的安全性将帮助组织将最薄弱的环节转变为最强大的资产。
