建立以人为本的安全文化的八个步骤

以人为本的安全方法

以人为中心的安全背后的哲学是，企业必须学会接受人类是任何保障措施中最薄弱的环节，并承认攻击者设计了欺骗性的欺骗手段来欺骗受害者。企业只有接受这一现实，才能设计出有效的网络安全计划来克服弱点。通过将员工置于中心位置并重新调整周围的现有安全方法，企业可以创建具有更高网络弹性的强大网络安全文化。

以下是八个步骤来帮助您入门：

1.评估您的网络安全状况。

盘点整个组织如何处理信息。了解各个部门在评估安全性方面有何不同。各地是否有共同的文化，还是人们的行为有所不同？第三方供应商和渠道合作伙伴如何适应这种文化？最初的审核将帮助您确定易受攻击的地方，并指导您设计解决方案。

2.测试员工的意识。

自我意识是构建网络安全文化的核心。评估员工是否表现出任何认知偏见。有哪个部门或小组比其他部门更容易产生偏见？最近对英国2000名远程工人的调查显示，有77％的员工表现出乐观的偏见（或过分自信），对在家工作时的安全性表示不担心。

3.识别威胁并对其进行探测。

根据这些关键风险创建威胁和测试方案的优先级列表。使用第三方专家来模拟现实世界的攻击并评估您的员工是否成为受害者。了解压力环​​境和复杂程度如何影响他们的反应。模拟（例如，仿冒自己的员工）可以帮助设计更有针对性的安全意识培训计划。

4.促进批判性思维。

从分解风险开始，而不是解释如何应对特定情况。如果您可以结合自然的猜疑，卓越的分析能力和强烈的个人意识，则可以为员工提供批判性思维。批判性思维使员工能够应对危机和破坏，并促进良好的网络卫生习惯。

5.审查员工的互动。

复查员工每天面临的压力，找出容易被操纵的脆弱点，并采取措施来解决这些薄弱环节。情境微调和信息提示可以在引导员工朝着期望的方向发展方面大有帮助。此练习的目的是使员工的生活更轻松，并消除各种明显的认知偏差的任何明显的系统性诱因。

6.从过去的错误中学习。

分析过去可能发生的网络攻击是最开始的地方之一。寻找组织的弱点和失败之处。避免沉迷于特定漏洞，因为这可能会导致确认偏差。相反，请查看整个图片，并在您的培训计划中分享这些经验。

7.重新设计流程并进行培训。

一旦对交互，压力点，触发器和过去的故障有了一个清晰的想法，就可以对流程进行重组，使其与所需的行为保持一致。确保您传达此更改的重要性，以便您可以从工人那里买单。证据表明，培训可以减少认知偏见并改善决策，因此员工必须定期进行培训。

8.自动化以减少人为错误。

过度依赖技术可能被证明是危险的。但是，业务中某些领域可以自动化以减少人为错误的风险。垃圾邮件过滤器，加密解决方案，身份验证和访问规则以及密码管理是减少人为错误可能性的一些有效方法。基于人工智能的安全工具可以帮助监视网络中的异常或异常行为，并标记潜在的弱点，以供安全专业人员进行进一步调查。