不要再说员工是网络安全中最薄弱的环节

 
我们在2020年将不再支持某些事情-但清单上的第一句话是“员工是网络安全中最薄弱的环节”。俗话说，人们真的应该在2019年放弃。
您可能会猜到，不幸的是，自从我写这篇文章以来，大多数人都没有。在线甚至在网络安全专家中，这仍然是一个普遍的思考过程。
您可能会问：“认为员工是弱点有什么问题?”鉴于数据泄露的频率越来越高(在大多数情况下，人为错误通常是原因或推动因素)，您认为员工天生就有过错是可以原谅的。
但事实并非如此，有一些合乎逻辑的原因。
最薄弱的一环?
首先，像这样进行对话并不能帮助我们。输了比赛，足球运动员要怪吗?好吧，从某种意义上说，当玩家获胜时也要“责备”。即使他们确实输了，告诉他们他们是问题所在，只会使人士气低落，并导致进一步的损失。
其次，如果必须责备他人，那肯定是安全意识计划所为，而不是依靠这些计划来更好地保护自己的员工。人为破坏事件继续以如此高的速度发生的原因是-坦白地说-当前形式的安全意识培训是行不通的。
培训无效，因为在大多数情况下，培训仅专注于意识。意识固然很好，但提高意识本身并不一定重要。仅仅因为人们“意识到”网络风险并不意味着在现实世界中，他们将以更安全的方式行事。
为了减少人为网络风险，安全“意识”培训(考虑时会误导性称呼)必须超出提高意识的范围。它需要集中精力同时改变行为并同时建立安全文化。总的来说，您可以将其称为“ ABC”。
这样做会形成一个良性循环，其中一个方面的改进会流入下一个领域。提高认识为行为改变奠定了基础。安全行为培养了安全文化。而且，通过完成这种循环，安全文化可以提高人们的意识。
了解人与安全之间的脱节
企业如何改善行为方式，进而开始建立积极的文化?尽管没有简短的答案，但任何对ABC原理不熟悉的业务的第一步都是试图了解不良行为的根源。早期需要解决的最有用的问题之一是：“为什么我的员工不遵守安全策略?”
当企业开始探究原因时，他们往往会发现动机或根本没有动机。员工在日常工作中没有采取安全措施：他们认为这不是一个严重的问题;他们不认为这是他们的责任;他们不认为这是他们可以控制的事物;或以上各项的组合。
企业也常常发现安全与员工之间的关系变得紧张。在极端情况下，它会变成对抗性的。安全被视为不便，烦恼，只是为了“挡路”而存在。
在看到重大改进之前，企业可能需要解决这两个问题。使网络安全更加个性化并与员工相关联，游戏化，带头加入领导层以及让员工参与网络安全对话，都将在某种程度上激发动力。同时，简化安全策略和过程(确保做正确的事是最容易的事情)将有助于解决安全与员工之间的紧张问题。
发展网络安全行为和文化
因此，如果我今年可以要求企业采用两种新的网络安全方法，那么第一种方法就是抛弃“最弱的链接”语言。第二，希望避免明年的库存中出现数据泄露，那就是要更加注意行为和文化。
通过将人们视为有用而强大的安全资产，并同时解决安全意识，行为和文化，企业可以真正，切实地降低其人为网络风险。