亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

人員已成為全球網(wǎng)絡(luò)攻擊的主要媒介，正如Verizon 2022年數(shù)據(jù)泄露調(diào)查報(bào)告所揭示的，現(xiàn)在對(duì)企業(yè)構(gòu)成最大風(fēng)險(xiǎn)的是人，而不是技術(shù)。

根據(jù)SANS 2022安全意識(shí)報(bào)告，安全專(zhuān)業(yè)人員最關(guān)心的三大安全風(fēng)險(xiǎn)是：

• 網(wǎng)絡(luò)釣魚(yú)
• 商業(yè)電子郵件泄露(BEC)
• 勒索軟件

三大威脅都與人員行為密切相關(guān)。因此，如何制訂有效的安全意識(shí)計(jì)劃已經(jīng)成為人為風(fēng)險(xiǎn)管理的關(guān)鍵所在。很多企業(yè)在安全意識(shí)實(shí)踐中面臨兩難境地，力度小了員工敷衍了事，而力度大了，如果方式不對(duì)，有時(shí)候也會(huì)起到反作用，甚至?xí)尠踩庾R(shí)培訓(xùn)在企業(yè)內(nèi)部落下“不講武德”的壞名聲。

識(shí)別、管理和量化人為風(fēng)險(xiǎn)的能力可以作為評(píng)判企業(yè)安全意識(shí)計(jì)劃成熟度的重要指標(biāo)，企業(yè)也可以參考SANS研究所創(chuàng)建的安全意識(shí)成熟度模型（下圖）來(lái)評(píng)估其意識(shí)計(jì)劃的成熟度。

安全意識(shí)成熟度模型能幫助企業(yè)識(shí)別和評(píng)估其安全意識(shí)計(jì)劃的成熟度水平，并確定改進(jìn)途徑。

根據(jù)SANS的調(diào)查，最有效的安全意識(shí)計(jì)劃都有一個(gè)共同特征，那就是那些專(zhuān)職的管理和執(zhí)行人員多，規(guī)模較大的安全意識(shí)團(tuán)隊(duì)能更有效地與安全團(tuán)隊(duì)合作，識(shí)別、跟蹤和優(yōu)先考慮最重要的人為風(fēng)險(xiǎn)，并吸引、激勵(lì)和培訓(xùn)其他員工來(lái)管理這些風(fēng)險(xiǎn)。

安全意識(shí)計(jì)劃不再僅僅是應(yīng)付合規(guī)的年度培訓(xùn)，而是公司有效管理人為風(fēng)險(xiǎn)至關(guān)重要的工作，這也是安全意識(shí)計(jì)劃獲得領(lǐng)導(dǎo)支持的關(guān)鍵所在。

從改變行為開(kāi)始

在今年8月初舉行的SANS 2022安全意識(shí)峰會(huì)上，Brex的安全意識(shí)工程經(jīng)理Cassie Clark討論了人員行為背后的驅(qū)動(dòng)因素。這些驅(qū)動(dòng)因素包括個(gè)人的知識(shí)、動(dòng)機(jī)、生物學(xué)和下意識(shí)思維，也包括外部的社會(huì)規(guī)范和經(jīng)驗(yàn)。

要改變?nèi)藛T的某種行為，首先應(yīng)該定義該行為，并確定該行為背后的基本原理，并考慮如何通過(guò)最少的干預(yù)對(duì)其施加影響。為了灌輸安全思維，企業(yè)需要將安全集成到日常流程中，使安全易于“消化”，并通過(guò)適當(dāng)?shù)募夹g(shù)緩解措施來(lái)提供支持。

Cassie Clark分享了一個(gè)實(shí)用的安全意識(shí)計(jì)劃入門(mén)指南，包括以下步驟：

• 與安全團(tuán)隊(duì)協(xié)調(diào)以確定需要矯正的三大人員行為
• 選擇一種行為并列出其背后可能的原因
• 將該行為的規(guī)范添加到安全消息中。小心避免噪音和信息疲勞，尊重不同的學(xué)習(xí)方式，并利用社交推動(dòng)學(xué)習(xí)。
• 開(kāi)始收集數(shù)據(jù)
• 用領(lǐng)導(dǎo)力將安全意識(shí)方法社會(huì)化

眼光要超越安全意識(shí)

安永公司美洲人類(lèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)和教育負(fù)責(zé)人Alexandra Panaretos提出了一個(gè)有趣的問(wèn)題：“如果我們關(guān)注的是未來(lái)的而不是現(xiàn)在的身份，該怎么做？實(shí)現(xiàn)長(zhǎng)久安全業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵是什么？”

答案的關(guān)鍵在于：持續(xù)降低人為風(fēng)險(xiǎn)。

Panaretos確定了人員風(fēng)險(xiǎn)的四個(gè)關(guān)鍵要素：

• 參與：創(chuàng)建基于角色和風(fēng)險(xiǎn)的活動(dòng)和溝通，在正確的時(shí)間向正確的人傳遞正確的信息，以支持正確的安全行為
• 賦能：為員工提供知識(shí)和工具，展示正確的安全行為以及如何在面臨威脅時(shí)做出正確選擇
• 執(zhí)行：將網(wǎng)絡(luò)安全整合到企業(yè)的崗位職能和業(yè)務(wù)生命周期中
• 發(fā)展：安全文化建立在與安全團(tuán)隊(duì)成員的信任、有效溝通和積極體驗(yàn)之上

同事對(duì)話

是改變行為的催化劑

Layer8首席執(zhí)行官Sarah Janes認(rèn)為安全意識(shí)出色的員工可以通過(guò)與同事對(duì)話和協(xié)作促進(jìn)企業(yè)安全文化變革。Janes的方法參考了Edgar Schein的組織文化科學(xué)研究和David Cooperrider的優(yōu)勢(shì)強(qiáng)化理論。

Janes認(rèn)為，如果安全意識(shí)出色的員工能夠遵循（對(duì)話+協(xié)作）*積極關(guān)注的公式，就可以推動(dòng)全體企業(yè)人員的行為改變。更積極主動(dòng)并與同事互動(dòng)的安全意識(shí)優(yōu)秀人員可以有效降低風(fēng)險(xiǎn)，因?yàn)閱T工更愿意向同事報(bào)告安全事件和懷疑。

最后，Sarah Janes提供了改變?nèi)藛T行為的路線圖：

• 定義行為：利用安全意識(shí)出色的員工發(fā)現(xiàn)錯(cuò)誤行為
• 確認(rèn)成果：將點(diǎn)連接起來(lái)，用數(shù)字展示成果
• 查找數(shù)據(jù)源：如果可以看到業(yè)務(wù)風(fēng)險(xiǎn)，則更容易更改系統(tǒng)
• 收集數(shù)據(jù)：激勵(lì)機(jī)制和游戲化，但要具有包容性
• 呈現(xiàn)數(shù)據(jù)：來(lái)自其他企業(yè)的用例研究
• 使用數(shù)據(jù)：用數(shù)據(jù)來(lái)發(fā)現(xiàn)更多的安全意識(shí)優(yōu)秀員工

如何讓開(kāi)發(fā)人員熱愛(ài)安全

Sage公司的Madeline Howard和Sophia Adhami分享了安全開(kāi)發(fā)的安全意識(shí)計(jì)劃經(jīng)驗(yàn)：首先要深入了解開(kāi)發(fā)人員的世界。他們采訪了軟件安全人員、產(chǎn)品負(fù)責(zé)人和和安全意識(shí)經(jīng)理，還參加了所有團(tuán)隊(duì)的會(huì)議，目標(biāo)是了解開(kāi)發(fā)人員的思維方式——他們使用的工具、復(fù)雜的技術(shù)環(huán)境，以及他們成功的原因。通過(guò)了解開(kāi)發(fā)人員的行為，Howard和Adhami希望建立尊重并承認(rèn)開(kāi)發(fā)人員的專(zhuān)業(yè)知識(shí)。

根據(jù)內(nèi)部研究的成果，他們接下來(lái)設(shè)計(jì)了支持變革的安全意識(shí)架構(gòu)，并贏得了開(kāi)發(fā)人員的認(rèn)可。高層管理人員和軟件安全經(jīng)理就“安全是重中之重”這一基調(diào)達(dá)成共識(shí)，然后他們編制了量身定制的消息，將共識(shí)傳達(dá)給開(kāi)發(fā)人員。所有開(kāi)發(fā)人員都欣然接受了針對(duì)技術(shù)和漏洞的培訓(xùn)，以充分了解不安全代碼給業(yè)務(wù)帶來(lái)的風(fēng)險(xiǎn)。Sage還有一套完善的安全意識(shí)激勵(lì)機(jī)制，包括：安全冠軍名人墻、CISO郵箱、獎(jiǎng)品和T恤、內(nèi)網(wǎng)上的文章等。

Howard和Adhami從安全意識(shí)項(xiàng)目一開(kāi)始就監(jiān)測(cè)變化，因而能夠向領(lǐng)導(dǎo)層和開(kāi)發(fā)人員證明，投資安全意識(shí)計(jì)劃可以將修復(fù)漏洞的時(shí)間縮短82%。

這個(gè)案例的主要收獲是：

• 您不必是技術(shù)人員，但你一定要善于傾聽(tīng)
• 你不是在創(chuàng)造一種新的文化，你正在調(diào)整文化。我們正在提高安全能力，以便全體員工都朝著同一個(gè)方向發(fā)展
• 技術(shù)人員想做正確的事，你必須想辦法讓他們參與進(jìn)來(lái)

結(jié)論：用文化做推手

成功的安全意識(shí)案例還有很多，例如Equifax公司的安全意識(shí)項(xiàng)目。該公司在2017年的重大網(wǎng)絡(luò)安全事件后開(kāi)始積極改變其安全文化，并取得顯著成果，這些都證明了關(guān)注網(wǎng)絡(luò)安全中“人的因素”的重要性。

最重要的是轉(zhuǎn)變企業(yè)文化，使其成為能夠在整個(gè)業(yè)務(wù)流程中提高人員安全意識(shí)的推動(dòng)力。制訂并實(shí)施有效的安全意識(shí)計(jì)劃并非遙不可及，CISO們可以多留意同行業(yè)的成功案例，并將最佳實(shí)踐應(yīng)用自身企業(yè)。

來(lái)源：GoUpSec