以人为中心的安全对企业意味着什么

人们通常被认为是信息安全中“最薄弱的一环”。然而，公司和企业一直依赖于技术安全控制的有效性，并没有试图理解为什么人们总是容易犯错误和被操纵。显然，我们需要一种新的方法，一种可以帮助企业理解和管理心理漏洞的方法，然后采用考虑到人类行为的技术和控制措施。

这种新方法是以人为本的安全。

以人为本的安全始于理解人类及其与技术、控制和数据的互动。通过识别员工在一天中何时以及如何“接触”数据，公司可以找到心理相关故障的触发条件，这些故障可能导致安全事故。

多年来，攻击者一直在利用心理操纵迫使人们犯错。攻击技术在数字时代继续发展，复杂性、速度和规模都在增加。准确知道是什么触发了人为错误，可以帮助企业在信息安全方法上做出巨大的改变。

识别人员漏洞

以人为本的安全意识认识到员工每天通过一系列联系人与技术、控制和数据进行交互。这些联系可以是数字的、物理的或口头的。员工需要在这种互动中做出决定。然而，人类有许多漏洞，这些漏洞可能导致错误的决策，并对公司产生负面影响，例如发送包含敏感数据的电子邮件、被跟踪到公司的受限区域，或者在火车上讨论并购。这些错误也可能被投机黑客用于恶意目的。

在某些情况下，公司可以设置预防性控制措施来减少错误，例如禁止员工发送电子邮件、加密笔记本电脑或设置物理屏障。然而，错误总是会发生，特别是当时间紧迫或员工为了更有效地完成任务而决心违反或忽略这些控制措施时。压力增加时也会出现错误。

如果你能识别出基本的人员弱点，了解人类的心理机制，并知道是什么触发了危险行为，公司将开始了解员工为什么会犯错，然后更有效地管理这些风险。

利用人员漏洞

人类心理弱点为攻击者提供了影响和利用企业员工的机会。自从人类步入数字时代以来，攻击者使用心理操纵的方式没有改变。然而，攻击技术变得越来越高端、廉价和有影响力，使得攻击者能够有效地针对个人或攻击相当广泛的范围。

攻击者使用来自互联网和社交媒体的大量免费信息来建立可信的人物角色和背景，并与其目标建立友好关系。这些信息被小心地用于对目标施加压力，并触发随后的启发式决策响应。攻击者还会使用各种攻击技术迫使目标产生特定的认知偏差，从而导致可预测的错误。那么攻击者将使用这些错误。

有许多心理学方法可以用来操纵人类行为。攻击者影响认知偏见的方式之一是社会权力。

许多攻击技术使用这种社会权力方法来利用人员漏洞。攻击技术可以是高度有针对性的或广泛部署的，但它们通常包含引发认知偏见的触发器，导致可预测的错误。非针对性的“宽网”攻击依赖于少数用户点击恶意链接，而更复杂的社会工程攻击则越来越成功和流行。攻击者已经意识到攻击人比攻击技术基础设施简单得多。

攻击技术利用社会力量根据场景以不同的方式引发认知偏见。在某些情况下，电子邮件足以引发认知偏见，从而达到预期的效果。在其他情况下，攻击可能会在一定时间内用各种技术逐渐操纵目标。保持不变的是，攻击是精心设计和复杂的。通过找出攻击者如何使用社会力量等心理方法来触发认知偏见和强迫错误，公司可以解构和分析真实世界的事件，找出其根源，然后采取最有效的缓解措施。

如果信息安全项目想要转向以人为本，公司必须意识到认知偏见及其对决策的影响。他们应该承认认知偏见存在于正常的工作环境中，或者可以是人

管理人员漏洞

人员漏洞会严重影响企业声誉，甚至带来人身安全风险。公司和企业可以采用多种方法加强信息安全项目，降低人员脆弱性风险，如采用更加以人为本的方法培养安全意识，设计涵盖人员行为的安全控制和技术，改善工作环境，降低员工压力的影响。

回顾当前的安全文化和对信息安全的接受，可以让企业清楚地看到哪些认知偏见正在影响公司。提高对人员脆弱性及其利用技术的认识，设计更多以人为本的安全意识培训，涵盖不同类型的人员，应成为加强任何信息安全项目的基本要素。

成功实施以人为本的安全项目的公司和企业的信息安全和人力资源部门经常高度重叠。高级和初级员工之间的强有力的指导网络，加上工作日和工作环境的结构性改善，应有助于减少不必要的压力，防止影响决策的认知偏见。

在老师和学生之间建立良好的关系，在知识和理解之间建立平衡。创造一个工作环境和工作生活平衡，可以减少压力、疲劳、工作倦怠和时间管理不善，并大大降低出错的可能性。最后，考虑如何通过改善或提高工作空间和环境来减轻员工的压力。考虑什么是最适合员工的工作环境，因为有很多选择，比如在家工作、远程工作、现代办公空间、工厂或户外场合。

将最弱一环打造成最强资产

深度心理弱点意味着人们容易犯错，也容易受到操纵和胁迫性攻击。错误和操纵现在是安全事件的主要原因，因此风险是根深蒂固的。通过帮助员工理解这些弱点是如何导致糟糕的决策和错误的，公司可以有效地控制内部人员无意失误的风险。为了达到这一效果，我们需要一种新的信息安全方法。

以人为本的安全方法可以帮助公司和企业大大减少认知偏见的影响，减少错误。企业可以通过识别认知偏差、常见的行为触发因素和攻击技术，将相应的心理培训引入自身的安全意识计划。校准技术、控制和数据可以解释人类行为，而改善工作环境可以减轻压力。

一旦从心理层面理解了信息安全，公司和企业就能更好地应对管理和缓解人员漏洞带来的风险。以人为本的安全将帮助公司将最薄弱的环节转化为最强大的资产。