人们通常被视为信息安全中的“最薄弱环节”。但是,从历史上看,组织一直依靠技术安全控制的有效性,而不是试图了解人们为什么容易出错和受到操纵。显然需要一种新方法;它可以帮助组织理解和管理心理脆弱性,并采用专为人类行为而设计的技术和控制。
这种新方法是以人为本的安全性。
以人为中心的安全始于了解人及其与技术,控制和数据的交互。通过发现人们在整个工作日中如何以及何时“接触”数据,组织可以发现与心理有关的错误可能导致安全事件的情况。
多年来,攻击者一直在使用心理操纵方法来迫使人类犯错误。攻击技术已在数字时代发展,其复杂性,速度和规模不断提高。了解引发人为错误的原因将有助于组织改变其信息安全方法。
识别人为漏洞以
人为中心的安全性承认,员工在任何一天都可以通过一系列接触点与技术,控件和数据进行交互。这些接触点可以是数字的,物理的或口头的。在这种交互过程中,人类将需要做出决定。但是,人类存在一系列漏洞,这些漏洞可能导致决策错误,从而给组织带来负面影响,例如向外部发送包含敏感数据的电子邮件,让后挡板进入建筑物或在火车上讨论公司收购事宜。这些错误也可能被机会主义的攻击者用于恶意目的。
在某些情况下,组织可以采取预防性控制措施以减轻所犯的错误,例如,防止员工从外部发送电子邮件,对笔记本电脑进行强加密或物理障碍。但是,错误仍然可以解决,特别是如果个人决定颠覆或忽略这些类型的控件以更有效地完成工作任务或在时间有限的情况下。在压力或压力升高时也可能会显示错误。
通过识别人类的基本漏洞,了解心理学的工作原理以及引发风险行为的原因,组织可以开始理解为什么员工可能会犯错误,并开始更有效地管理该风险。
利用人的弱点
心理弱点为攻击者提供了影响和利用人的优势的机会。自从人类进入数字时代以来,攻击者使用的心理操纵方法没有改变,但是攻击技术更加先进,具有成本效益和扩展性,允许攻击者有效地针对个人或进行大规模攻击。
攻击者使用越来越多的来自在线和社交媒体来源的免费信息来建立可信的角色和背景故事,以建立与目标的信任和融洽关系。仔细地使用此信息来增加对目标的压力,然后触发启发式决策制定响应。攻击技术用于迫使目标使用特定的认知偏差,从而导致可预测的错误。然后,攻击者可以利用这些错误。
有几种心理方法可用于操纵人类行为。攻击者可以用来影响认知偏见的一种方法是社会力量。
有许多攻击技术使用社交力量方法来利用人的漏洞。攻击技术可以高度针对性地或大规模地进行,但它们通常包含旨在引起特定认知偏差的触发器,从而导致可预测的错误。尽管没有针对性,但“喷雾和祈祷”攻击依赖于一小部分单击恶意链接的收件人,而更复杂的社交工程攻击正变得越来越普遍和成功。攻击者已经意识到,针对人类要比尝试攻击技术基础设施容易得多。
两种情况下,攻击技术利用社交力量触发认知偏差的方式会有所不同。在某些情况下,一封电子邮件可能足以触发一个或多个认知偏差,从而导致理想的结果。在其他情况下,攻击可能会使用多种技术在一段时间内逐渐操纵目标。一致的是,攻击是经过精心构造和完善的。通过了解攻击者如何使用诸如社交能力之类的心理方法来触发认知偏见和强迫错误,组织可以解构和分析现实事件以找出其根本原因,从而投资于最有效的缓解措施。
为了使信息安全计划变得更加以人为本,组织必须意识到认知偏见及其对决策的影响。他们应该承认,正常的工作条件可能会引起认知偏差,而且攻击者将使用精心制作的技术来操纵这些技术以获取自己的利益。然后,组织可以开始重新解决信息安全计划,以改善对人为漏洞的管理,并保护其员工免受一系列强制和操纵性攻击。
管理人为漏洞
人为漏洞可能导致错误,这些错误会严重影响组织的声誉,甚至危及生命。组织可以通过采取更加以人为本的方法来提高安全意识,设计安全控制措施和技术来应对人类行为,并改善工作环境以减少压力或压力的影响,从而加强信息安全计划,从而降低人为漏洞的风险。对劳动力的压力。
回顾当前的安全文化和对信息安全的看法应使组织有力地指出哪些认知偏见正在影响组织。增强对人的漏洞和攻击者用来利用它们的技术的意识,然后定制更多以人为中心的安全意识培训,以解决不同的用户群问题,这应该是增强任何信息安全程序的基本要素。
拥有成功的以人为本的安全计划的组织通常在信息安全和人力资源职能之间存在重大重叠。促进高级和初级员工之间强大的指导网络,以及工作日结构和工作环境的改善,应有助于减少不必要的压力,这些压力会导致引发影响决策的认知偏见。
在导师和受训者之间建立有意义的关系,以建立知识和理解的平衡。创建工作环境和工作与生活之间的平衡,以减少压力,疲惫,倦怠和不良的时间管理,所有这些都大大增加了发生错误的可能性。最后,考虑改善或增强工作空间和环境如何减少劳动力压力或压力。考虑什么是最适合劳动力的工作环境,因为可能有多种选择,例如在家工作;远程工作;或现代化办公空间,工厂或室外场所。
从最薄弱的环节到最强的资产,
潜在的心理脆弱性意味着人类容易犯错误,也容易受到操纵性和强制性攻击。现在,错误和处理占据了大多数安全事件,因此风险是巨大的。通过帮助员工了解这些漏洞如何导致不良的决策和错误,组织可以管理意外内部人员的风险。为此,需要一种新的信息安全方法。
以人为中心的安全方法可以帮助组织显着减少导致错误的认知偏见的影响。通过发现最常见的认知偏差,行为触发因素和攻击技术,可以将量身定制的心理训练引入组织的意识运动中。可以对技术,控制和数据进行校准以解决人类行为,同时改善工作环境可以减轻压力和压力。
一旦从心理学的角度理解了信息安全,组织将为管理和减轻人为漏洞带来的风险做好准备。以人为本的安全性将帮助组织将最薄弱的环节转变为最强大的资产。