4 网络安全意识和教育
当人们不遵守安全政策时,安全从业人员通常会采取安全意识、教育和培训措施来应对。但是,在第3节中,我们确定安全卫生必须放在首位:如果人们不断被告知风险非常严重,他们必须遵守政策,但在实践中不能这样做,他们就会对安全和组织产生怨恨和消极态度(这是适得其反的)。
在实践中,意识、教育和培训这三个术语通常可以互换使用,但它们是相互依赖的不同元素:
安全意识。安全意识的目的是引起人们的注意并说服他们安全值得参与。鉴于许多组织面临合规和安全疲劳,引用 Cormac Herley 的话:更多不是答案:瞄准大量通信会适得其反。我们需要引起人们的注意,让他们认识到(a)网络安全与他们相关,即风险是真实的并且可能影响他们,以及(b)他们可以采取措施来降低风险和他们有能力采取这些步骤。对于安全专业人员来说,制作有效的意识信息并不是一件容易的事。因此,与组织中的通信专家合作会有所帮助。他们不仅知道如何制作吸引人们注意力的信息,还知道如何通过他们可用的不同渠道接触不同的受众,并将它们整合到整个通信集中以避免信息疲劳。
安全教育。一旦人们愿意更多地了解网络安全,我们可以提供有关风险以及他们可以采取哪些措施来保护自己免受风险的信息。大多数人目前对网络风险的心智模型非常不完整且通常不正确(参见第4.2节)。将它们转换为更准确的数据为建立网络安全技能提供了基础。然而,很难确定教育是否会导致更准确的心智模型,或者至少是安全专业人员期望人们拥有的心智模型。必须牢记这种分歧。例如,尼科尔森等人。引入网络生存任务作为了解安全专家和员工之间这种差异的一种手段,以便为安全教育计划的设计提供信息。
安全培训。培训帮助人们获得技能,例如,如何正确使用特定的安全机制,如何识别和应对社会工程攻击。除了向人们展示如何做某事外,我们还需要通过让他们在可以“试验”安全决策并反思他们的看法和偏见的环境中练习技能来支持技能的获得。部分技能获取可以在线获得支持,但是,与所有学习一样,在社交社区的背景下进行学习更有可能获得成功。
一个常见的误解是,如果人们完成了上述三个步骤并且知道该做什么,他们就会改变他们的行为。但是知道该做什么以及如何去做是不够的。正如我们在第3节中所讨论的,人类活动 90% 是自动的,由存储在长期工作空间中的例程或习惯驱动。新的安全行为需要嵌入其中,但它的位置被现有行为(类似于旧密码)占据。“旧习惯难改”的格言准确地描述了这样一个事实,即在我们设法将旧行为排除并且新行为变得自动之前,我们所有的意识、教育和培训努力可能不会产生我们正在寻求的行为改变。这是一项具有挑战性的工作。由于在我们改变安全行为的同时需要进行生产活动(第2节),我们一次只能针对 1-2 个行为,并且只有在这些行为真正嵌入后才开始更改接下来的 1-2 个行为。也不应该将安全意识和教育与安全文化混为一谈(参见风险管理和治理 CyBOK 知识领域])。这些可能是发展安全文化的一个要素,但它们本身并不代表有效的安全文化。
RISCS白皮书“意识只是第一步”,提出了一个支持模型(图3,组织需要提供以实现安全行为改变。它表明我们到目前为止讨论的三个步骤只是第一步步骤,并且需要进一步的四个步骤来实现行为改变。为了支持这些额外的步骤,我们可以利用已经发展的新一代学习资源。这些步骤需要组织的投资——在战略、时间、规划和资源。
网络安全知识体系1.1人为因素(三):可用的安全性——目标和任务
网络安全知识体系1.1人为因素(四):可用的安全性——交互上下文
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(七):网络安全意识和教育
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论