NCSC表示,人们可以成为网络安全中最强的联系
信息安全传统上由技术领导,结果,人们的角色和价值被忽视了。这是Emma W,以人为本的安全团队在英国国家网络安全中心(NCSC)领先。
她在每周告诉计算机的情况下,作为最薄弱的联系,人们对人们的感知是不公平的。
“我们并不总是有人在网络安全方面工作,深入了解人类行为或心理学家,社会科学家等意见,告诉我们为什么人们行为他们的行为。
“因此,组织倾向于将用户视为应该在被告知那样的人,但他们并不总是,往往是因为他们不能。
“然而,这些原因往往无法识别,而是用户被视为不可于操作或愚蠢的,但这不是真的,是我们必须转身的感知,”她说。
最终用户通常归咎于故障的位置是密码,但许多组织具有不合理的期望。
大多数人发现它挑战要记住多个密码,特别是当组织坚持长期和复杂的密码时必须定期更改。
她说,而不是批评未能遵守不合理的密码政策的员工,而是需要更复杂的了解人类如何成为安全资产。
“他们需要了解,如果人类似乎糟糕的安全性,那就是因为他们被要求做难或不切实际的事情。”
NCSC认为这表明需要重新重塑IT系统中IT安全团队与IT系统的用户之间的关系。
虽然一些信息安全专业人员了解他们的角色是支持和使业务能够实现业务,但艾玛W表示在理解如何与最终用户有关的情况下取得更少的进展。
她说,用户仍然认为安全成为警察角色,而且感到充满信心或者太害怕与安全团队谈论他们拥有的挑战以及他们认为需要弯曲甚至藐视安全规则以获得工作为了害怕以某种方式制裁而害怕。
“这是我们需要重塑的关系,以及这是一个关键部分,它是安全团队与组织的其余部分之间的双向沟通,而不是用户当前的常见看法,即安全刚刚坐在自己的筒仓中并告诉每个人否则他们需要做什么,“她说。
“实际上,安全专业人士没有所有的答案,用户都有贡献,以便提供一些答案。安全专业人士需要开始倾听用户正在尝试的内容,并明白它们可能是最强的,而不是安全的最薄弱的联系。“
EMMA W表示,最终用户应该被视为一个积极的资产,这些资产是安全专业人员没有关于业务如何运行以及如何运行的信息,而不是被视为必须管理的责任,而不是被视为必须管理的责任。
“安全专业人士需要审查他们如何收集有关安全信息的信息,因此他们可以获得正确的支持,以发现他们的业务面临的真正问题并修复它们,”她说。
安全专业人员还需要了解偶尔的安全意识培训和基于海报的意识活动,不能替代有意义的双向通信,使他们能够了解人们需要的安全性以及安全如何有助于支持业务。
“这是关于安全团队发现一个组织真正发生的事情,为什么人们没有做安全团队希望他们要做的事情 - 而且它可能不是因为人们是弱势,愚蠢或故意试图破坏安全努力,“艾玛W.
“大多数人都很善意,知道他们应该做的事情,但他们试图完成工作任务,组织没有给他们正确的方式,”她说,结果是任务可能已经完成,但不能以最安全的方式完成。
员工觉得他们无法在系统内工作,或者他们正在运行被惩罚的风险,因为他们无法控制的东西,他们会寻找替代工作的方式,这就是由于地下驾驶而导致的阴影和实际工作流程的替代方式。她说。
出于这个原因,NCSC正在支持人们在网络安全方面有可能组织的最强烈的联系,并且鼓励组织旨在朝着产生积极的协作解决方案,让用户有机会表明他们是最大的资产安全,尽可能多的商业。
用户通常会归咎于密码周围的失败,但这主要是因为大多数人发现很难关注公司的密码策略。
“安全团队需要接受人们不记得多个复杂的密码,并且没有多少意识培训正在解决问题,”Emma W.“安全专业人士必须了解他们必须从用户那里采取痛苦并找到替代方式解决问题。“
她说,组织应该审查他们的密码策略,只在必要时应用密码,并查看以易于使用的替代身份验证方法替换密码。
一旦组织拍摄了一些密码,他们就可以开始对他们预计员工创造的那种密码更加逼真,而不是要求员工将难以记住的非常长而复杂的密码。
“组织应该审查他们是否可以通过更短,更简单的密码和常规密码更改的东西进行越来越多的东西,这在现实中提供了很少的额外保护,但却是许多人的生活的努力,”艾玛W.
“它涉及主要评估事物的现实是因为在现实中假设了传统密码管理的许多好处,并且由于未能面对这些假设不正确的事实,因此组织承担额外的风险。“
oOganisations必须面对这一事实,即某些旧的工作方式在安全方面无效,通过考虑到真正的工作方式,致力于提供真正的安全,人们需要做些什么,以及他们如何做的事情她说,很容易,有效和安全。
NCSC的一种方式使这种新的网络安全方法是通过在关键网络安全主题上发布的所有指导中阐述其原则。
Emma W将在她的演讲人员中更详细地讨论这种新方法:6月6日至8日,伦敦InfoSecurity Europe 2017年的最强链接。