为什么我们需要将思维方式从网络安全“意识”转变为“影响力”。
网络安全准备工作基于三个支柱:人员,流程和技术。 尽管技术是有效的网络安全计划的关键要素,但仅靠技术不足以抵御现代网络威胁。 薄弱的安全文化甚至会破坏最佳的技术安全工作。
对组织构成威胁的不仅是黑客,公司间谍或不满员工。 在大多数情况下,违反行为通常是非恶意,无知的员工所犯错误的意外后果。
澳大利亚信息专员办公室 (OAIC)会发布有关根据可通报数据违规(NDB)计划收到的通知的季度统计信息。 在其2018年7月1日至9月30日和10月1日至12月31日的报告中,它都将人为错误列为举报违规的主要来源(分别为37%和33%)。
虽然报告的违规行为的最大来源(57%和64%)归因于“恶意或犯罪攻击”,但这些利用的漏洞中有很大一部分涉及人为因素,例如诱骗员工单击网络钓鱼电子邮件或泄露密码。 。
这些数字说明了安全意识在组织的网络安全防御中可以发挥的基本作用,以及强大的安全文化如何充当“力量倍增器”。
意识不起作用
安全社区中的一些人认为,提高意识的计划无效,因此,应采用技术解决方案,而不是人类的解决方案。
但是答案不是停止对这些程序的投资,而是我们需要基于对为什么它们可能行不通的理解来重新铸造它们。
传统的认识方法可能是:
- 每年都向忙碌的员工提供信息,然后通过多项选择调查表让他们蛮力行事,只是想知道为什么他们继续犯同样的“错误”;
- 在Intranet站点上发布漫长而枯燥的政策文件和建议,只是想知道为什么没有人阅读或遵守它们; 要么
- 讲课并威胁员工做错事的后果,只是想知道为什么他们为什么只做最低限度的工作,以免陷入麻烦。
希望这些方法的缺陷对于大多数人来说应该是显而易见的。
不过,真正的意识问题在于,安全团队通常将其重点放在员工身上,即员工应了解的知识以及员工应如何使用该信息的方法上,而不是首先考虑员工的需求,什么是驾驶行为?最有效的参与方式是什么?
从意识到影响
需要的是思维方式的转变:从意识到影响 。 影响力(这最终是意识计划的理想结果)需要对客户有深刻的了解。 我不仅需要专业知识来有效地影响行为,而且还需要了解您的需求和动机。 对于安全团队来说,这需要人类行为方面的专业知识。
配置和有效管理安全系统所需的技能与理解和影响人类行为所需的技能不同。 虽然技术技能对于建立任何一支优秀的安全团队至关重要,而Telstra的网络影响团队的有效性完全取决于我们所拥有的专家技术技能和知识,但由技术专家领导人员计划可能无法产生预期的效果结果。
单单了解安全性还远远不够,我们还需要了解人类并了解人类动因的专家。 仅提供信息是无效的,我们还需要将该信息轻松,热情地保留在员工的脑海中。 它必须“坚持”并成为变革的动力。
信息与情报可以说是一样的。 任何值得他们投入盐分的专家都可以提供信息。 但是要使之被认为是情报 (注意到情报必须为决策制定),它必须与听众相关并且必须是可操作的。 良好的情报考虑到业务环境和客户需求。
同样,如果我们的意识活动仅限于盲目广播信息而不考虑我们要广播的信息的需求,那么我们也可能会从屋顶上大喊大叫,希望通过纯粹的愚蠢案例,有人在听我们讲话并采取行动。建议。
影响模型
哈佛大学心理学家赫伯特·凯尔曼(Herbert Kelman)于1958年发表了一篇论文,题为《 顺从性,识别性和内在化:态度转变的三个过程》 。 该研究考察了实现“持久”态度改变的驱动力:即态度改变是持久的,并且超出了公众的服从性,进而扩展到了个人接受度,在这种接受度中,信念被整合到个人自身的价值体系中。
这些过程可以方便地应用于网络安全方面的态度转变:
合规
当个人寻求获得奖励或认可,或避免惩罚或不赞成时,就会发生变化。 为了提高安全意识,这是许多组织开始和完成的地方。 政策制定了基本规则,并对其实施惩罚。 尽管必须向员工提供清晰的信息,并且虽然政策可以有效地推动可接受的行为,但政策不一定会转变为信念。
合规性可以推动变化,但不能持久或持久变化……这是其他两个过程起作用的地方。
身份证明
人们将更倾向于受到认同的人的影响; 考虑品牌和声誉。 无论您的建议有多好,如果您没有建立信誉或对听众的信任,那么您的影响力就会减弱。
这就要求安全团队向内看,并确定其客户或利益相关者如何看待它们。 安全团队是否提供不清楚,不一致或不切实际的建议? 还是您被视为可以为企业提供支持并为其增值的可信赖合作伙伴?
对于Telstra的网络影响力团队而言,这意味着要建立起统一的叙事和语调,以统一战线。 如果小组中的某个团队或个人提供的建议与小组中另一个团队或个人的建议不一致或相矛盾,则会损害我们整个安全小组的影响力。
这也意味着为演示文稿和主要出版物(不仅是由网络影响团队介绍或开发的出版物)提供审查和质量保证,以确保建立和维护网络安全的可信身份。
内部化
当人们将信息内在化并以您的信念为自己的信念时,最终的变革将最终实现。 他们不再因为被告知而去做某事,而是因为他们相信这样做是对的,这样做符合他们的利益-这种新行为本质上是有益的。
全球网络安全能力中心发布的题为“ 网络安全意识运动:为什么他们不能改变行为的工作论文”? “最终用户[已经]知道这些危险。” 安全专家警告了他们,使他们感到困惑,并使他们充满恐惧,不确定性和怀疑。 人们有意识地做出决定是基于他们是否有能力执行要求的工作以及付出的努力是否值得。”实现这种持久的改变要求我们提供可理解,相关且重要的是参与的建议。
在Telstra,这意味着与创意机构合作,例如,开发故事驱动的视频内容,而不是传统的谈话型培训视频(下面有其自己的预告片),更类似于Netflix系列。 观看此微型影集的员工已与朋友,家人和同事共享了该视频,以放大我们的安全性信息,并不是因为要求这样做,而是因为这些内容具有吸引力且具有相关性。
分类预告片(安全行动版)
这是MSQUARE Productions在Vimeo上的“分类预告片(安全操作版)”,Vimeo是高品质视频和视频的发源地…… vimeo.com
这就是影响。 我们的故事令人难忘,共享且具有影响力。 员工已对我们避免使用大量信息做出了回应,并保留并共享了重要的重要安全信息。
人的问题需要人的解决方案
安全教育不仅需要简单地向人们提供信息,还需要更多的信息。 它必须具有针对性,可操作性和可实现性,并具有人们可以遵循的简单一致的行为规则。 它必须与他们的角色和利益相关,并且不能用专业术语,通俗易懂的语言,案例研究,隐喻和寓言来解释原因(不仅是内容),提供背景信息并为受众建立概念性理解。
它最终必须激励观众采取行动,因为这样做符合他们的利益,而不是您的利益。
这不仅是您所说的,也是您所说的。
故事和助记符
经受时间考验的一种交流形式是讲故事。 共享和重述了好故事,而助记符和口号(例如,Telstra的“网络安全五知识”或澳大利亚网络安全中心的“ 必不可少的八” )有助于使信息令人难忘。 但是,一长串的指令或事实被丢弃的速度几乎与中继一样快。
数以百万计的澳大利亚人和新西兰人轻易地回想起1980年代的皮肤癌认识计划“滑,滑,拍打”及其传达的信息:“穿衬衫,涂防晒霜,戴上帽子”,但很少有人会回想起每年因这种疾病而死亡。
澳洲电信(Telstra)的网络影响团队讲述的故事经常证明,持怀疑态度和直觉的心态如何胜过对静态安全事实的死记硬背(例如“网络钓鱼电子邮件有错别字”或“寻找具有SSL的网站”)。 我们的故事强化了消息和反馈,表明它们具有影响力,更容易被记住并且正在积极共享,从而扩大了我们在整个组织甚至员工个人网络中的影响力:
“只是看过这个功能……一种高度引人入胜的方式来突显被黑客攻击对个人的潜在影响。 今天,我将与更广泛的团队分享这一点。”
“我今晚回家,与家人谈论我们如何在网上保护自己。”
仅依靠静态事实是一种特别危险的方法,因为环境处于不断变化的状态。 这样的事实可能在一天之内是正确的,而在第二天不再适用-例如,现在超过50%的网络钓鱼站点都具有有效的SSL证书。
可以通过简化“执行”安全性复杂性的操作来增强故事的准确性。 例如,与其让工作人员选择包含12个大写,小写,数字和特殊字符的密码(这是令人困惑且难以遵循的建议),不如说是一种简化的方法,是解释密码短语的概念,密码短语既容易记住,又容易记住。罪犯很难猜测,也难以推荐密码管理者在所有帐户中维护强而独特的密码。
案例研究可以用来证明密码使用不当的风险,并以此为由提供“为什么”,这是推动变革的关键动力; 仅仅告诉人们做某事是不够的。
持续的文化变革需要时间,但只要拥有正确的专业知识和重点,就可以奠定基础,最终为大多数公司的网络安全态势(即其员工)同时利用最大和最弱的武器。
