如何通过更好的沟通提高网络安全

小微 生活如何通过更好的沟通提高网络安全已关闭评论58字数 1845阅读模式
摘要没有用户了,安全也就很容易了。这种说法既荒谬又真实。没有用户,业务也无法开展。在网络安全方面,是时候放眼全局了。除了处理出现的每一个新风险、漏洞和攻击媒介之外,网络安全专家还需要了...

没有用户了,安全也就很容易了。

这种说法既荒谬又真实。没有用户,业务也无法开展。在网络安全方面,是时候放眼全局了。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

除了处理出现的每一个新风险、漏洞和攻击媒介之外,网络安全专家还需要了解他们自己的同事——他们的想法、学习方式以及他们真正想要什么。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

人为因素——影响网络安全的个人和社会因素——与防止恶意网络攻击的技术一样重要。然而,一般来说,大多数网络安全专业人员都更加熟练、知识渊博并且专注于技术方面。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

然而,根据Gartner 的一份报告, “人为故障”将导致未来三年所有重大网络事件的一半以上。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

因此,我们发现自己正进入另一个网络攻击不断增加的季节,而网络安全专业人员的关注点与防御因素之间存在严重不匹配。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

是时候重置了。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

NIST 的6个最常见的安全陷阱文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

在美国国家标准与技术研究院 (NIST) 最近发表的一篇文章中,计算机科学家 Julie Haney 重点关注了安全专家对用户普遍持有的误解。作为网络安全技术和人为因素方面的专家,Haney 指出,这些误解主要与与用户的沟通有关。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

这篇名为“用户不傻:颠覆了六个网络安全陷阱”的论文强调了与用户合作的方式和原因的基础知识,而不是将他们视为“敌人”。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

假设用户一无所知。不为听众量身定制沟通方式。由于可用性差而无意中造成内部威胁。有太多的安全感。根据惩罚措施或负面消息让用户遵守。不考虑以用户为中心的有效性衡量标准。文章源自微观生活(93wg.com)微观生活-https://93wg.com/14469.html

在她的论文中,哈尼引用了两项研究。一项研究发现,2021 年 82% 的违规行为涉及人为因素。

另一位指出,2020 年,53% 的美国政府网络事件涉及员工违反可接受的使用政策或成为社会工程攻击的牺牲品。

没有人需要说服人们是问题所在。但要知道人也是解决方案——或者至少是解决方案的一大部分——并不那么直观。

根据 Haney 的说法,关于后一点,研究是明确的。但网络安全专家并没有专注于这项研究。

一个起点是阅读上面链接的 Haley 的 NIST 论文。我会认可她的清单,并添加更多项目。

新思维:将用户变成合作伙伴

网络安全就像一场战争。这自然会导致网络安全人员形成好斗的心态。

负责保护庞大且不断增长的网络安全攻击面、不断变化的威胁形势、易受攻击的软件、内部威胁、新的和前所未有的挑战,感觉与组织中其他所有人的目标(赢得客户、赚取利润、实现增长目标、最小化)不一致客户流失等等)。

大局是组织的更大目标是共同目标。所有这些业务目标都取决于网络安全——安全是实现这些目标的一部分。通过专注于共同的目标,用户将更容易合作。

保持语言积极;避免消极。专注于“失败”、“错误”和“错误”会大规模地士气低落。感到害怕和愚蠢的士气低落的员工不会有在网络安全方面合作的心态。表扬好的行为,而不是批评坏的行为。强调成功的喜悦胜过失败的悲伤。帮助用户了解他们如何以及为何在安全方面提供帮助,而不仅仅是下达命令。

用商业术语说话,而不是抽象。无论是在预算会议上与最高管理层交谈,还是在网络安全培训中与销售人员交谈,都要用商业术语表达自己——节省或损失的时间和金钱,而不是假设可以抽象地理解有关网络安全的事实。

使用简单、尊重的语言。学习用通俗易懂的语言表达自己。行话是有道理的,并为使用该行话的专业人士提供具体和清晰的信息,但可能会极端疏远您的专业以外的人。避免通过坚持让用户学习行话来解决这种不匹配的诱惑。相反,学会在不使用行话和居高临下的情况下表达这些想法。

专注于建立信任。始终如一地表达对用户目标的承诺,并对您要实现的目标保持透明,以建立同理心、共同的使命感和相互信任。

忘记如何胁迫;学习如何说服。说服是一门可以学习的艺术,它远比胁迫有效。如果您使用威胁和武力,用户可能会一有机会就“绕过”您的指令。但是通过说服,您会让用户不仅希望遵循最佳实践的字面意思,而且希望遵循其精神。

假设大多数信息都会被遗忘。CybSafe 研究发现,只有10% 的员工记得所有的网络安全培训。大多数用户需要强化学习、多角度沟通和其他方法来营造网络安全文化,而不是希望所有人都记住的培训课程。

别等了。用户沟通不足的一个原因是通常没有足够的时间、人员或资金来优先考虑此计划,而不是其他更紧迫的问题。但硅谷一些最具创新精神的 CEO 会告诉你,胁迫和危机是创新和变革的最佳时机。

保护组织免受持续的网络攻击不仅仅是技术角色。这也是一个领导角色。学会通过有效的以人为本的沟通来领导。在两方面都表现出色的能力是网络安全专业人员可以拥有的最有价值的技能组合。


以上就是本站小编关于“如何通过更好的沟通提高网络安全”的详细内容,希望对大家有所帮助!

继续阅读
 
小微
  • 版权声明: 本文部分文字与图片资源来自于网络,转载此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请立即通知我们(管理员邮箱:81118366@qq.com),情况属实,我们会第一时间予以删除,并同时向您表示歉意,谢谢!
  • 转载请务必保留本文链接:https://93wg.com/14469.html