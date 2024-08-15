在网络安全领域，重点常常集中于技术——具体而言，是网络犯罪分子如何利用技术发动攻击，以及组织可用哪些工具来保护其系统和数据安全。然而，这忽视了网络安全风险中最重要的因素：人为错误。
Proofpoint 的 2024 年度 CISO 之声报告发现，四分之三 (74%) 的首席信息安全官表示，人为错误是他们的头号网络安全风险。这较去年 60% 的 CISO 持此观点有了显著增长。该研究还发现了 CISO 与董事会之间存在关键分歧。董事会成员将问题归咎于人为错误的可能性 (63%) 低于 CISO，这表明 CISO 应侧重于教育领导层以及员工。
调查中数据丢失事件的主要原因有几项与员工直接相关。最主要的响应 (42%) 是内部人员疏忽/员工粗心，例如员工滥用数据。其他原因包括恶意或犯罪的内部人员 (36%)、员工凭证被盗 (33%) 以及设备丢失或被盗 (28%)。
IBM 的 2024 年威胁指数支持了这一发现，表明 30% 的攻击始于网络钓鱼。然而，与 2022 年相比，无论是数量上还是作为初始攻击向量，网络钓鱼攻击均有所减少。该报告指出，持续采纳网络钓鱼缓解技术和策略和重新评估是减少的原因之一。
虽然确实是人为失误导致了安全漏洞，但这并不一定是员工个人的过错——除非是内部人员恶意犯罪的情况。组织必须采取积极主动的网络安全方法 ，这包括提供培训使员工学会安全操作，同时建立降低风险的流程。
降低人为网络安全风险并非易事。无法通过单一项目或培训就能解决此问题。相反，组织必须采取整体方法，创建网络安全文化，并赋能每位员工将网络安全视为自己的职责。
由于 AI 工具能够预测人的可能行为，它们在防范网络安全中的人为风险方面可能特别有效。Proofpoint 报告发现，全球 87% 的 CISO 正寻求部署人工智能驱动的功能，以帮助防范人为错误和先进的以人为中心的网络威胁。
尽管许多公司提供培训，但往往是“打勾”式的培训，并不能真正改变行为或让网络安全始终被重视。在设计培训计划时，需采取 整体方法 ，并考虑哪些员工需要哪种类型的培训。
首先从审查过往事件开始，以确定哪些主题最为重要，例如员工近期屡次点击网络钓鱼尝试。公司不应采用年度培训，而应考虑定期开展月度小型模块培训，使相关主题始终保持高度关注。此外，应将网络安全培训纳入新员工入职流程，确保每位员工在入职伊始就能掌握统一的应知信息。
员工很容易认为网络安全是别人的职责。但降低人为风险首先要改变这种印象，让每位 员工都对网络安全产生责任感。虽然培训是实现这一转变的关键组成部分，但这同样需要让网络安全在整个公司范围内保持高度关注。网络安全文化始于高层，需要每位领导者都谈论网络安全并强调其重要性。
网络安全始于人亦终于人：既是发起攻击的人，也是有能力阻止攻击的人。通过关注网络安全中的人为因素，您的组织可显著降低风险。然而，改变不会通过一次培训发生，甚至不会在几个月内实现。组织必须将此战略视为长期方针，其目标是让每位员工都认识到自己有能力为组织的网络安全发挥作用。
