大多数企业未能培训它和对用户的安全性
根据独立网络安全Consultantjessica Barker的说法,企业未能培训其关于用户的IT和网络安全团队。
“一些公司有旨在提高关于网络安全威胁的员工了解的课程,但几乎没有人培训它和安全团队关于用户,她在普利茅斯告诉CyberCon 2017。
“这是一个真正的问题。我们正在技术内容培训用户,关于技术和IT和信息安全所面临的挑战,但我们并没有这样做。
“我们期待其组织中的信息安全专业人员来培训用户,但我们并没有教授那些关于人的信息,”她说。
虽然长期以来一直是安全是关于人,流程和技术的承认,但是Barker表示,大多数公司都没有教授他们对心理学,社会学和沟通的安全阵容,这都是网络安全所固有的。
她说,结果是一支安全团队,期望用户表现合理行为。“他们希望他们的用户是逻辑的,如[星际徒步旅行] Spock,而他们往往更像是荷马辛普森。
“技术团队不明白的是,没有人是脚克,没有人是荷马。我们都是。我们内部的座子和荷马是不断的控制我们的行为的战斗。
但是,当人们进入一个“热门状态”时 - 这是他们被某种东西诱惑的时候,对某事或渴望某事的好奇事,荷马几乎总是赢,“巴克说。
“这是社会工程攻击是有效的原因。他们针对好奇心,欲望和贪婪 - 所有让人们以非理性方式行事的事情。
“如果提供组织网络安全培训的人不明白这一点,他们将讨论技术方面,但不是一种改变行为的方式,”她说。
相反,Barker表示,组织需要确保通过员工可以理解的方式传播网络安全消息。
“以用户为中心。考虑如何通过解释该做什么以及为什么不吓唬人们来建设性地与恐惧造成恐惧,以免否认,“她说。
如果他们理解风险,员工行为,如果他们有权提出问题,员工行为更有可能改变,如果他们理解这种风险,以及提供安全的工具和程序。
“鼓励员工了解网络安全,他们可以向其他人解释主题,使用各种教学方法,因为人们以不同的方式学习。鼓励好奇,使用赋权,使用奖励,不要忘记教授人们的重要性和过程的重要性,“巴克说。