5 积极的安全
网络安全的目标是什么?当被问及时,大多数人的第一反应是防止网络攻击,或者至少降低攻击成功的风险,或者损失太高。正如弗洛伦西奥等人。指出供应商和那些希望组织更认真对待安全的人诉诸“恐惧不确定性和怀疑 (FUD)销售”——制造对攻击及其后果的恐惧、对后果的不确定性以及对组织自卫能力的怀疑——因此促进网络安全市场和产品销售。
FUD提供了源源不断的事实信息(例如,恶意软件样本的原始数量、地下市场上的活动,或者为一块巧克力交出密码的用户数量),其效果是让我们相信事情很糟糕,而且不断变得更糟。
今天的安全从业者抱怨大多数个人和企业没有认真对待网络风险。问题在于,恐惧推销并不是安全决策的良好基础:当由此产生的安全投资无效时,决策者就会怀疑网络安全的好处。这反过来又会鼓励对方加大FUD的力度,从而导致恐惧和不情愿的安全投资螺旋上升。
为了抵御新的威胁,公司需要的不仅仅是被动的遵守——员工想要保护组织,理解并同意他们在防御中被分配的责任。为了实现这一点,我们必须让安全成为一个可信的主张,以便人们愿意接受它。积极的安全提供的不仅仅是保护我们关心的事物免受负面后果(“免于” )。它使我们能够参与我们重视的活动,并拥有我们珍惜的经验(“自由” )。Roe认为,积极的安全概念将为新的政策选择和干预打开思路,并鼓励个人或团体更多地参与有关安全的决策,并参与其中。
积极安全的另一个关键方面是我们使用的与之相关的语言。作为第一步,我们必须停止妖魔化不愿意或无法遵循安全建议的人的做法:称这些人为“最薄弱环节”含蓄地指责他们无法理解或遵守安全。
网络安全知识体系1.1人为因素(一):了解安全中的人类行为
网络安全知识体系1.1人为因素(二):可用的安全性——基础
网络安全知识体系1.1人为因素(三):可用的安全性——目标和任务
网络安全知识体系1.1人为因素(四):可用的安全性——交互上下文
网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(十):积极的安全
评论