網絡安全的重點通常是技術。具體來說，是網絡罪犯如何利用它進行攻擊，以及組織可以使用哪些工具來保證系統(tǒng)和數(shù)據的安全。然而，這忽略了網絡安全風險中最重要的因素:人為錯誤。

網絡安全中的人為風險

根據Proofpoint公司發(fā)布的《2024年首席信息安全官之聲》報告，四分之三(74%)的首席信息安全官(CISO)表示，人為錯誤是他們最大的網絡安全風險。這表明，與去年相比，有60%的首席信息安全官表達了這種觀點，這一比例有了顯著增長。該研究還發(fā)現(xiàn)，首席信息安全官與董事會之間存在一個關鍵差距。董事會成員(63%)指出人為錯誤的可能性低于首席信息安全官(CISO)，這表明首席信息安全官應該把重點放在培養(yǎng)領導力和員工上。

在調查中，數(shù)據丟失事件的幾個主要原因與員工直接相關。排在第一位的回答(42%)是內部人員或員工的疏忽，例如員工濫用數(shù)據。其他原因包括惡意或犯罪內部人員(36%)、員工憑證被盜(33%)和設備丟失或被盜(28%)。

IBM2024威脅指數(shù)支持這一發(fā)現(xiàn)，表明30%的攻擊始于網絡釣魚。然而，網絡釣魚攻擊的數(shù)量和初始攻擊向量都比2022年有所下降。報告指出，繼續(xù)采用和重新評估網絡釣魚緩解技術和策略是減少的原因之一。

雖然一個人可能確實犯了導致數(shù)據泄露的錯誤，但這并不一定是個人的錯——除非是內部犯罪分子。組織必須采取積極主動的網絡安全方法，包括提供培訓，使員工能夠學習安全實踐，同時建立降低風險的流程。

減少員工在網絡安全方面的失誤

降低人類網絡安全風險并不簡單。你不能啟動一個單一的項目或培訓來解決這個問題。相反，企業(yè)必須采取一種全面的方法，創(chuàng)造一種網絡安全文化，并授權每位員工將網絡安全視為自己的工作。

以下是解決網絡安全中的人為風險的三種方法:

1.使用人工智能工具來克服人為錯誤

因為人工智能工具可以預測人類可能會做什么，所以它們在防范網絡安全中的人為風險方面特別有效。Proofpoint報告發(fā)現(xiàn)，全球87%的首席信息安全官正在尋求部署人工智能功能，以幫助防范人為錯誤和以人為中心的高級網絡威脅。

2.提供全面和持續(xù)的員工培訓

盡管許多公司提供培訓，但這通常是打勾式的培訓，并不能真正改變行為或將網絡安全放在首位。在設計培訓計劃時，要采取全面的方法，考慮哪些員工需要哪種類型的培訓。

首先回顧過去的事件，以確定哪些主題是最重要的，例如員工在最近的過去多次點擊網絡釣魚嘗試。公司應該考慮每月定期的迷你模塊，而不是每年一次的培訓，讓員工牢記這些話題。此外，將網絡安全培訓作為新員工入職的一部分，以確保每個員工在進入公司時都掌握相同的信息。

3.創(chuàng)建網絡安全文化

員工很容易覺得網絡安全是別人的工作。但降低人類風險首先要改變這種印象，讓每個員工都覺得自己對網絡安全負有責任。雖然培訓是這一轉變的關鍵組成部分，但它還涉及在整個公司中保持網絡安全的首要地位。網絡安全文化從高層開始，每個領導者都在談論網絡安全并強調其重要性。

優(yōu)先考慮網絡安全中的人為風險

網絡安全始于人，也終結于人:制造攻擊的人和有能力阻止攻擊的人。通過關注網絡安全中的人為因素，組織可以顯著降低風險。然而，改變不是一次訓練或幾個月就能發(fā)生的。組織必須將這一戰(zhàn)略視為一種長期的方法，其目標是讓每個員工都意識到他們有能力在組織的網絡安全中發(fā)揮作用。