In 2000, it was predicted that semantic attacks that target humans 而利用人类信息处理能力的漏洞将成为网络犯罪分子的主要攻击载体. 人类是网络安全链条中最薄弱的环节,这是一个公认的事实. 在组织环境中,这意味着员工是网络攻击的主要目标. 这种说法的证据可以在 2017年数据泄露调查报告 released by Verizon, which reports that in 2017, 34,075起因密码薄弱或被盗而发生的安全事件. 以减轻语义攻击对其员工的威胁, 组织可以采取增加员工培训计划的策略,并在员工中建立一个更高的信息安全威胁意识的环境.
美国国家标准与技术研究院(NIST)和欧盟网络安全机构(ENISA)等国际机构已经充分认识到信息安全意识培训的必要性和重要性. NIST released SP 800-50, which provides guidance on developing, designing, 实施和维护有效的信息安全意识计划. NIST的出版物包括信息意识发展材料,如需求评估访谈和问卷调查, training metrics, 培训计划模板和宣传海报.
ENISA released 新用户指南:如何提高资讯保安意识, 其中载有提高不同机构资讯保安意识的实用建议, 包括中小澳门赌场官方下载和个人用户. 尽管这些指导方针提供了如何开发一个全面的信息安全意识培训计划的深入理解, 为意识材料的关键元素所规定的设计方法仍然非常传统. ENISA的指导方针包括一个关于制定有效的宣传运动规划程序的单独章节. Meanwhile, 最近,与网络安全相关的人的方面的改进引起了越来越多的关注. In its recent report, ENISA强调了组织中网络安全文化的发展. 网络安全文化旨在为员工的工作带来变化, 日常商业交易的习惯和行为,以提高网络安全考虑. 为在组织中实施网络安全文化,存在给员工带来行为改变的机会.
推动员工行为改变的需求, 信息安全研究人员和管理人员应该考虑关注心理学等相关领域的最新发展, behavior sciences, human factors and economics. 新的理论已经出现,解释了人类行为以及如何改变人类行为以获得预期的结果. One such idea is nudge theory. In their seminal article, 轻推理论的作者提出了“自由意志家长制”哲学,,讨论了如何通过改变选择架构来改变人们的行为. Over the years, 许多政府和组织已经使用轻推理论在不同的环境中引入公民和员工的行为改变. 助推理论在信息安全领域有一定的应用空间, 特别是在开展信息安全意识宣传活动方面. 宣传材料用于提高信息安全意识, such as posters or flyers, 是否可以使用轻推理论方法来设计使其更有效. This is worth considering, 对信息安全意识运动设计策略的重新思考是当前的需要.
Editor’s note: 想要进一步了解这个话题,请阅读Sudeep Subramanian最近在《澳门赌场官方下载》上发表的文章, “推动我们建立成功的资讯保安意识” ISACA Journal, volume 1, 2021.
Don't forget—Members can earn free CPE from ISACA Journal quizzes!
