福布斯：网络安全最大的风险不是技术而是人

花钱越多，感觉越安全。这就是陷阱。

首席信息安全官 (CISO) 大部分时间都在开会讨论哪些网络工具能够保障安全，从端点检测、人工智能监控到高级威胁情报等等。但令人不安的事实是：CISO 认为他们的网络边界已经通过技术保障安全，但真正的威胁却正从家门口悄悄溜走。

这是因为最薄弱的环节不在你的技术堆栈中，而是你的员工。

95% 的违规行为都是人为失误造成的。更糟糕的是？大多数网络事件都是由可预防的员工失误造成的，例如点击恶意链接、重复使用凭证、选择弱密码以及错误处理敏感数据。

尽管科技发达，人仍然是最常见的（也是最昂贵的）安全漏洞。随着网络攻击的频率和强度不断增加，这一漏洞的风险只会越来越大。您的组织需要重塑文化。以下是如何着手。

并非所有人类风险都是意外

诚然，人为失误是导致数据泄露的主要原因。但还有一个更隐蔽、更令人担忧的风险正在危及组织的安全态势：故意沉默。

40% 的网络安全专业人士承认，他们曾为了避免工作上的损失而少报安全事件。这种沉默并非疏忽大意，而是一种文化。

当团队人手不足时，汇报界限就会变得模糊。如果制定安全协议的人员也负责报告事件，客观性就会受到破坏。再加上警报疲劳，组织就会在仪表盘后留下隐藏的盲点。63 % 的安全团队每年要花费超过 208 个小时来追踪误报，三分之一的专业人士表示，真正的威胁因此被忽略了。

这些可见性挑战导致网络风险的认知不准确，而且越接近高层办公室，对漏洞的认知就越模糊。根据我公司VikingCloud的研究，虽然74%的C级网络安全领导者认为他们的安全态势良好，但只有29%的一线管理人员认同这一点。更糟糕的是，只有13%的C级高管认为存在漏报现象，而知道漏报现象的管理人员比例为58%。

问题就在这里：下次你要求增加预算来为你的堡垒投资最新的网络技术时，你可能会被拒绝，这都是因为高管们也有这种虚假的安全感。

文化：你的第一道防线

如果人们觉得举报问题不安全，或者不认为自己是防御的一部分，你的风险面就会一直敞开。网络安全战略需要随着技术进步而进行文化转型。

以下是文化重置行动计划的五大要求。

1.持续的安全意识培训

网络安全培训并非一次性活动，也不是一次性完成的任务。员工需要定期、深入的培训，才能保持敏锐，应对不断变化的威胁。要教会他们识别网络钓鱼攻击、保护凭证，并了解他们的行为如何影响组织的整体风险状况。

游戏化培训、真实世界模拟和桌面演练不仅能提升团队参与度，还能在攻击者之前暴露薄弱环节，帮助识别可能需要额外支持的员工。这就像在不可避免的事情发生之前对人为防火墙进行压力测试。

2. 消除恐惧因素

恐惧导致沉默，沉默滋生风险。如果员工担心受到惩罚，他们就不会迅速举报，甚至根本不举报。建立保密、清晰且支持性的举报渠道。

务必奖励透明度，并做出建设性回应。营造一个鼓励和支持快速举报的非惩罚性环境至关重要。当人们感到可以安全畅所欲言时，小问题就不再是问题。

3. 让安全成为每个人的职责

网络安全并非仅仅属于IT部门。它属于整个组织，从实习生到CEO。高管必须以身作则，树立安全行为榜样，并将安全作为一项清晰可见、持续不断的优先事项。

弥合一线员工与高管层之间的沟通鸿沟也至关重要。当领导者能够获得来自一线员工的实时、未经过滤的反馈时，他们能够做出更明智的决策，并更明智地部署资源。

例如，微软的“安全未来计划”（SFI）强调了领导力在转变安全文化方面发挥的重要作用。通过将安全目标纳入员工绩效考核，并在网络安全方面投入大量资源，微软开创了由领导力驱动的安全提升的先例。

4. 利用科技增强人类意识

即使是训练有素的员工也会遗漏一些细节。这时，您的技术堡垒就派上用场了。通过制定实施人工智能工具的策略，您可以更好地检测异常、阻止网络钓鱼攻击并实时标记危险行为。当人与技术协同工作时，安全效果将显著提升。

5. 抱有“永不完成”的心态

威胁在不断演变，防御措施也应如此。经常回顾政策，对应对计划进行压力测试，并及时告知大家新的风险和最佳实践。网络安全并非一成不变，而是随着时间的推移不断增强的。

当文化契合时，安全就发挥作用

安全至上的文化能够更快地响应、更早地报告、减少遭受网络钓鱼攻击的几率，并赢得利益相关者的更多信任。但这种文化并非可以花钱购买的，必须靠培养。首先，我们必须认识到网络安全不仅仅是技术问题，更是人的问题。

所以，不要仅仅依赖技术工具。赋能员工，规范报告，让安全成为共同的责任。因为下一次安全漏洞很可能并非来自复杂的黑客攻击，而是来自沉默。在付出代价之前，改变企业文化吧。