尽管网络安全相关风险不断演变，但对于CISO而言，“管理人为错误”的挑战却始终存在。即使应用先进的解决方案和复杂的协议，员工仍然会在不经意间泄露敏感数据，使得组织系统面临网络威胁风险。

Verizon在其2024年数据泄露调查报告（DIBR）中分析了来自2023年的30,458起安全事件，其中包括10,626起已确认的数据泄露事件——较前一年增加了两倍。值得注意的是，该报告发现超过三分之二（68%）的安全事件都都归因于人为因素。这就是为什么对于CISO来说，理解员工犯安全错误的背后原因至关重要。

从安全人员的角度来看，我们通常会忽略一个现实：与我们共事的其他部门的员工有着完全不同的背景、日常生活习惯，以及对待技术的方式。

通过了解员工行为背后的形成机理，CISO能够更加有效地提高其团队的风险意识，并促成持久的行为变革。其中员工犯安全错误大多数可以归结为三个主要原因。

尽管进行了培训，但许多员工仍无法完全理解作为第一道防线要保持警惕的必要性。相反，他们认为网络安全是IT部门的责任，所以对于数据保护工作变得漠不关心。举个例子，他们在点击可疑链接时，通常没有保持其该有的谨慎，而是相信公司的安全系统会阻止有害内容的侵入。

要解决该问题，改善安全意识培训的形式和频率。这样做将有助于更好地传达保持持续警惕的重要性，并允许员工有效地吸收每一节课，而不是因一次性面对过多的信息而感到不知所措。不要一年只谈论一次安全话题，或者强迫员工参加安全意识培训，要以不同的方式、不同的契机和不同的渠道，五到六次地呈现整个网络安全内容。建议每隔几周让员工观看有针对性的安全视频，每个视频的时长应控制在3—15分钟。 

这里还涉及到一个问题，就是用户通常会因为担心自己采取的行为会对公司的安全造成威胁，而不愿意主动上报他们遇到的问题或安全事件。这种通知的延迟给攻击者争取了更多时间来对破坏系统。根据Verizon的DBIR报告，组织平均需要55天来修补关键漏洞。在这段时间里，组织会遭受更加严重的损失，包括昂贵的勒索软件攻击以及公司声誉的受损。

针对该问题，鼓励上报安全事件，CISO可以通过进一步培养一种文化来解决，在该文化中，组织的所有成员都能认识到自己在安全方面的重要作用。CISO可以通过展示一些明智的安全决策以及行为案例来示范良好的安全实践，以鼓励员工将事件转化为学习经验，而不是通过点名批评来加强恐惧文化。

人们在工作中总是倾向于寻找最快的解决方案，这往往意味着员工会为了方便而采取对安全妥协的捷径。即使是技术员工也不例外，举个例子，他们会误以为从开源库中导入内容是安全的，但实际上这些开源库可能早已被攻击者所利用，用来传播恶意软件或窃取密码。

为了避免这些可能会威胁到系统的捷径， CISO可以采取自动化安全措施，如多因素身份验证提示措施，以避免由于密码泄露而带来的风险，并限制访问可能会使数据面临风险的服务，包括生成式人工智能或可下载的代码库。另外，CISO还应该提供一份安全替代品列表，供公司的开发人员参考下载，前提要确保这些可下载的内容已经过了扫描并获得了安全认证。

在工作中，人们倾向于对重复性的任务进行自动化处理，并逐渐对接连不断的警报失去耐心。而攻击者就会恰恰利用这一点，将他们的钓鱼文件和其他攻击文件一起插入到与员工一直看到的数字信息相匹配的消息中。

尽管，这些攻击行为会触发相应的警报，但随着警报数量的上涨，持续不断的警报最终会导致警报疲劳。于是员工开始对警报视而不见，后果是会忽视掉真正要紧的威胁警报。

对此，通常最有效的控制措施是利用人为因素和技术资源。幸运的是，越来越多的公司开始认识到这一点。许多公司已经开始应用“行为科学技术”，比如设置提示和提醒，来鼓励员工采取所需的安全行为。这些提示可以促使员工在采取行动之前停下来对数字请求的合法性进行评估，而不会使他们感到疲劳。

建议员工在评估安全性时思考以下三个问题: 

员工应使用双向通信来进行验证，以防止攻击和诈骗事件。通过使用已经确认为合法的电话号码或电子邮件联系相关企业，可以确认所收到的信息是否真的是由所声称的实体授权发送的。

虽然CISO无法消除所有的人为风险，但他们却可以通过针对导致不良决策的心理因素来制定策略，从而显著减少安全事件并推动网络安全意识文化的发展。另外，通过建立一个透明、注重责任的安全文化，也有助于培养积极参与和知情的员工，使其有能力成为网络安全防御的第一道防线。

* 本文为茉泠编译，原文地址：https://www.csoonline.com/article/2132350/3-reasons-why-users-still-make-security-mistakes-and-how-to-avoid-them.html
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。