网络安全知识体系1.1人为因素(十一):利益相关者参与之雇员

admin 2022年5月18日02:01:51评论20 views字数 1194阅读3分58秒阅读模式

6 利益相关者参与

6.1雇员

从过去十年对网络安全中人类行为的研究中,出现了一个非常明确的主题:参与寻找让安全为员工服务的方法的重要性。在这方面,沟通和领导很重要。然而,这些方面以及与组织文化有关的其他方面在风险管理和治理 CyBOK 知识领域中进行了讨论。在这里,我们关注员工而不是组织领导和方面,例如网络安全的战略董事会级领导。
Lizzie Coles-Kemp 及其同事开发了一种方法,可以让员工进一步参与提高安全性。他们使用投影技术(例如,绘图和拼贴画)来构建日常活动的表示,并以此为基础对安全性的讨论。案例研究展示了这如何帮助确定组织认为不受欢迎的不安全行为的根本原因,在许多情况下安全性设计不当(与 Beautement 等人的结果相呼应),但也更基本组织未能支持业务及其个别任务。
创造性的安全参与(由 Dunphy 等人首次提到)鼓励参与者(公司环境中的员工或更广泛参与的消费者或公民)反思:
  • 他们的环境,
  • 他们感受到的情绪,
  • 他们所经历的限制,
  • 他们承受的压力,
  • 他们在生成和共享信息时执行的操作和任务。


欧盟入侵项目开发了一种利用乐高对信息安全威胁进行物理建模的创造性参与技术。这种物理建模弥补了安全从业者通常使用的典型图表(例如,流程图和统一建模语言(UML)图)与受安全设计影响的消费者的日常实践之间的差距。Heath、Hall & Coles Kemp报告了一个成功的案例研究,该方法为家庭银行应用程序的安全建模,确定了需要提供人为干预和支持的领域,以使安全工作总体正常。
这些研究提供了与员工、消费者和公民就安全问题进行互动的不同方式的示例。它们是研究日益增长的趋势的一部分(参见关于生产安全的工作),远离在个人内部寻找有利于所需安全行为的特征的机械方法,或者试图通过以下方式改变行为解决或调整这些特征。这些方法的基本重点是改变安全设计以与用户和组织任务保持一致,从而减少工作量并提高组织的生产力。事实上,它也会导致对安全性的更积极看法,这是一个有价值的副作用。

网络安全知识体系1.1人为因素(一):了解安全中的人类行为

网络安全知识体系1.1人为因素(二):可用的安全性——基础

网络安全知识体系1.1人为因素(三):可用的安全性——目标和任务

网络安全知识体系1.1人为因素(四):可用的安全性——交互上下文

网络安全知识体系1.1人为因素(五):可用的安全性——设备的功能和限制
网络安全知识体系1.1人为因素(六):人为错误
网络安全知识体系1.1人为因素(七):网络安全意识和教育

网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法

网络安全知识体系1.1人为因素(九):网络安全意识和教育——网络风险和防御的心理模型
网络安全知识体系1.1人为因素(十):积极的安全

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(十一):利益相关者参与之雇员

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月18日02:01:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识体系1.1人为因素(十一):利益相关者参与之雇员http://cn-sec.com/archives/1015999.html

发表评论

匿名网友 填写信息