2022年5月18日02:01:51评论28 views字数 1194阅读3分58秒阅读模式

6 利益相关者参与

6.1雇员

从过去十年对网络安全中人类行为的研究中，出现了一个非常明确的主题：参与寻找让安全为员工服务的方法的重要性。在这方面，沟通和领导很重要。然而，这些方面以及与组织文化有关的其他方面在风险管理和治理 CyBOK 知识领域中进行了讨论。在这里，我们关注员工而不是组织领导和方面，例如网络安全的战略董事会级领导。

Lizzie Coles-Kemp 及其同事开发了一种方法，可以让员工进一步参与提高安全性。他们使用投影技术（例如，绘图和拼贴画）来构建日常活动的表示，并以此为基础对安全性的讨论。案例研究展示了这如何帮助确定组织认为不受欢迎的不安全行为的根本原因，在许多情况下安全性设计不当（与 Beautement 等人的结果相呼应），但也更基本组织未能支持业务及其个别任务。

创造性的安全参与（由 Dunphy 等人首次提到）鼓励参与者（公司环境中的员工或更广泛参与的消费者或公民）反思：

他们的环境，
他们感受到的情绪，
他们所经历的限制，
他们承受的压力，
他们在生成和共享信息时执行的操作和任务。

欧盟入侵项目开发了一种利用乐高对信息安全威胁进行物理建模的创造性参与技术。这种物理建模弥补了安全从业者通常使用的典型图表（例如，流程图和统一建模语言（UML）图）与受安全设计影响的消费者的日常实践之间的差距。Heath、Hall & Coles Kemp报告了一个成功的案例研究，该方法为家庭银行应用程序的安全建模，确定了需要提供人为干预和支持的领域，以使安全工作总体正常。

这些研究提供了与员工、消费者和公民就安全问题进行互动的不同方式的示例。它们是研究日益增长的趋势的一部分（参见关于生产安全的工作），远离在个人内部寻找有利于所需安全行为的特征的机械方法，或者试图通过以下方式改变行为解决或调整这些特征。这些方法的基本重点是改变安全设计以与用户和组织任务保持一致，从而减少工作量并提高组织的生产力。事实上，它也会导致对安全性的更积极看法，这是一个有价值的副作用。

网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

网络安全知识体系1.1人为因素（二）：可用的安全性——基础

网络安全知识体系1.1人为因素（三）：可用的安全性——目标和任务

网络安全知识体系1.1人为因素（四）：可用的安全性——交互上下文

网络安全知识体系1.1人为因素（五）：可用的安全性——设备的功能和限制

网络安全知识体系1.1人为因素（六）：人为错误

网络安全知识体系1.1人为因素（七）：网络安全意识和教育

网络安全知识体系1.1人为因素（八）：网络安全意识和教育——支持安全意识和行为改变的新方法

网络安全知识体系1.1人为因素（九）：网络安全意识和教育——网络风险和防御的心理模型

网络安全知识体系1.1人为因素（十）：积极的安全