CISO将人为错误列为最大的网络安全风险

对于网络安全，人们通常关注的是技术——具体来说，网络犯罪分子如何利用技术进行攻击，以及组织可以使用哪些工具来保护其系统和数据的安全。然而，这忽略了网络安全风险中最重要的因素：人为错误。

网络安全中的人为风险

Proofpoint 的《2024 年首席信息安全官之声》报告发现，近四分之三 (74%) 的首席信息安全官 (CISO) 表示，人为错误是面临的最大网络安全风险。与去年表达这种观点的 60% 的 CISO 相比，这一数字显著增长。该研究还发现 CISO 和董事会之间存在一个关键差距。董事会成员 (63%) 不太可能指出人为错误，而CISO则不太可能，表明CISO 应该专注于教育领导层和员工。

调查中，数据丢失事件的几个主要原因与员工直接相关。最主要的回答（42%）是内部人员疏忽/员工粗心大意，例如员工滥用数据。其他原因包括恶意或犯罪的内部人员（36%）、员工凭证被盗（33%）以及设备丢失或被盗（28%）。

IBM 2024年威胁指数支持这一发现，表明 30% 的攻击始于网络钓鱼。然而，与2022 年相比，网络钓鱼攻击的数量和初始攻击媒介均有所下降。报告指出，网络钓鱼缓解技术和策略的持续采用和重新评估是减少的原因之一。

虽然确实有人犯了导致数据泄露的错误，但这不一定是个人的错——除非是内部犯罪分子。组织必须采取积极主动的网络安全措施，包括提供培训，让员工学习安全做法，同时建立降低风险的流程。

减少网络安全方面的员工错误

降低人类网络安全风险并非易事。你不可能通过启动一个单独的计划或培训来解决这个问题。相反，组织必须采取一种整体方法，创造一种网络安全文化，并让每位员工都将网络安全视为自己的工作。

以下是解决网络安全中人为风险的三种方法：

1. 使用人工智能工具来克服人为错误

由于人工智能工具可以预测人类可能采取的行动，因此在防范网络安全中的人为风险方面尤其有效。Proofpoint 报告发现，全球 87% 的 CISO 正在寻求部署人工智能功能，以帮助防范人为错误和以人为中心的高级网络威胁。

2. 提供全面、持续的员工培训

尽管许多公司都提供培训，但这些培训通常都是勾选式的，无法真正改变员工的行为或让网络安全成为首要考虑。在设计培训计划时，应采取整体方法，并考虑哪些员工需要哪种类型的培训。

首先回顾过去的事件，确定哪些主题最重要，例如员工最近反复点击网络钓鱼尝试。公司应该考虑定期每月进行迷你模块培训，而不是每年进行一次，以保持这些主题的首要地位。此外，将网络安全培训作为新员工入职培训的一部分，以确保每位员工在公司开始职业生涯时都掌握相同的信息。

3. 创建网络安全文化

员工很容易觉得网络安全是别人的工作。但要降低人为风险，首先要改变这种印象，让每位员工都感到对网络安全负有责任。虽然培训是这一转变的关键组成部分，但它也涉及让整个公司始终把网络安全放在首位。网络安全文化从高层开始，每位领导者都在谈论网络安全并强调其重要性。

网络安全中的人为风险优先考虑

网络安全始于人，终于人：发起攻击的人和有能力阻止攻击的人。通过关注网络安全中的人为因素，组织可以显著降低风险。然而，改变不会通过一次培训课程甚至几个月的时间发生。组织必须将此策略视为一种长期方法，目标是让每位员工意识到他们有能力为组织的网络安全做出贡献。

原文始发于微信公众号（河南等级保护测评）：CISO将人为错误列为最大的网络安全风险