网络安全盲点:为何人类行为是每位CISO的核心关注

本文探讨网络安全中常被忽视的人类行为因素,指出尽管技术投资创新高,但用户行为仍是最大漏洞。通过调查数据揭示认知与行为的差距,并提出以人为中心的安全策略,包括情感化教育、事件响应人性化及体验衡量方法。

网络安全盲点:为何人类行为是每位CISO的核心关注

当重大数据泄露成为头条新闻时,其影响远超出数据被泄露的个人范围。它动摇了消费者信任,引发员工紧急内部质疑,并直接落在首席信息安全官(CISO)的肩上。尽管网络安全领导者长期专注于预防和响应攻击,但许多安全计划中缺失的部分并非技术性的,而是行为性的。

我们在数据安全讨论中已达到一个关键时刻。尽管对网络安全工具的投资创下历史新高,但等式中最脆弱的部分——人为因素——仍然未被充分优先考虑。

那么,这对现代CISO意味着什么?

它要求将部分焦点从防火墙和框架转移到更难以量化但同样关键的事物上:深入理解人们如何思考、感受和应对风险。

感知与现实:消费者信心差距

四月,我们发布了身份与网络安全关注(ICC)调查结果,这是一项针对美国成年人的全国性调查,揭示了一个明显的矛盾。虽然87%的人表示在使用互联网连接设备时感到安全,但几乎相同比例——85%——的人也担心被黑客攻击,88%的人担心密码泄露。

这种脱节不仅仅是认知失调。它向网络安全领导者发出信号,表明传统的安全意识工作并未引起共鸣。尽管有关强密码和网络卫生的信息广泛传播,但只有十分之三的受访者表示他们遵循所有推荐的数据保护实践。换句话说,消费者可能感到自信,但大多数人并未采取可能显著加强保护的重要个人步骤。

这种差距为CISO带来了挑战和机遇。挑战在于,许多安全计划建立在用户会理性行动并始终遵循最佳实践的假设上。现实中,证据显示这很少是实际情况。这种不匹配削弱了即使是最复杂的防御——并突显了对更以人为中心的网络安全方法的需求。

而这里就存在机遇。CISO可以重新评估他们如何评估安全计划和交付网络安全。这些计划主要是为了保护系统,还是为了支持依赖它们的人?这意味着超越技术控制和合规清单,考虑用户的实际体验、他们如何感知风险、什么驱动他们的决策,以及他们在哪里遇到摩擦或困惑。

人类行为挑战

问题不在于消费者(或您的用户)缺乏关注。调查发现,91%的人担心人工智能在网络攻击中的使用。超过一半的人表示在使用设备时只感到有些安全,表明焦虑在表面下 lingering。尽管有这种担忧和对其身份日益增长的威胁,但无所作为却很普遍。

原因各不相同,从指导不明确到警报疲劳,再到认为网络保护过于复杂。这些行为改变的障碍常常被网络安全团队低估,他们假设逻辑和政策 alone 足以推动合规。但安全不仅仅是技术挑战;它是心理挑战。

人们并不总是做出理性决策,尤其是当涉及抽象或不可见的威胁,如身份盗窃或账户接管时。他们可能承认风险,但仍然重复使用密码。他们可能理解泄露的严重性,但并未采取措施监控账户。

当组织安全计划未能承认真实人们的行为方式时,即使最强的技术防御也可能从内部被削弱。

确实,作为CISO,重要的是认识到员工首先是 people,他们的个人习惯会带入工作场所。这就是为什么我们讨论的更广泛的消费者数据不仅仅是市场洞察;它是员工行为的镜子,进而反映了组织风险。促进他们个人生活中的安全习惯——比如提供身份保护作为员工福利——强化了一种保护个人和企业的安全文化。加强个人就是加强组织。

泄露的情感代价

尽管在 repeated 泄露后消费者日益冷漠的常见叙述,我们的调查结果讲述了一个不同的故事。惊人的94%的受访者表示,如果他们收到通知说他们的敏感信息涉及数据泄露,他们会担心,其中75%表示他们会极度或非常担心。

这很重要——非常重要。消费者没有置之不理,他们非常关心个人安全。泄露仍然引发强烈的情感反应。

作为CISO,重要的是不要将泄露视为不幸的挫折;它们被体验为 deeply personal violations,它们可以重建或永久 fracture 信任。CISO必须认识到泄露背后的情感代价,并相应地设计策略。技术补救必须与 empathetic communication、清晰的下一步和真实支持相结合,帮助人们再次感到安全。简而言之,将泄露响应视为人类体验(而不仅仅是技术练习)的组织将在长期内保持忠诚。

CISO可以采取的不同做法

没有一刀切的解决方案,但有方法开始构建更以人为中心的网络安全策略。以下是一些想法:

  • 围绕情感而非仅仅逻辑重新构建安全教育。人们更可能记住并基于故事而非统计数据行动。将指导与真实生活场景和结果联系起来。
  • 将事件后响应视为客户服务。超越技术遏制。使其易于理解并在情感上支持。
  • 关注脆弱时刻。识别客户何时最暴露,并主动提供保护和指导。
  • 衡量人类体验。不仅跟踪技术恢复,还跟踪用户的感受、他们的恢复需要多长时间,以及他们是否可能再次信任组织。

以人为中心的安全未来

CISO不仅负责防御基础设施。他们还负责保护其中的 human experience。网络安全的未来不仅取决于更智能的工具,还取决于更 empathetic 的策略。

保护人们意味着理解他们的行为方式、感受方式以及当事情出错时的响应方式。缩小体验差距不仅是良好实践;它是 essential leadership。

关于作者

作为Iris® Powered by Generali(公司)的全球身份和网络保护服务CEO,Paige Schaffer领导销售和营销策略以及收入增长计划,管理运营以及全球扩张。利用她在身份和网络保护及恢复服务方面15多年的主题专业知识,特别是在B2B2C软件即服务中的应用,她是Iris创新身份和网络保护服务创建和演变的愿景者。在她的指导下,Iris已与财富500强公司 secured 多个数百万美元的合同,Schaffer女士直接销售新业务并谈判延长合同期限,从而最大化公司的收入流。Iris Powered by Generali的网站 https://www.irisidentityprotection.com/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次