NCSC表示,人们可以成为网络安全中最强的联系
SAP Q1 2017结果:云收入€906M,S / 4的5,800名客户
Chefconf 2017:Devops如何为数字转型成功设定企业
Camden Open Data Platform旨在拓展伦敦的踪迹
IBM Buys Ezsource以帮助转换数字世界的大型机应用程序
Palo Alto Networks与区域总部扩展了Apac足迹
HPE的新融合物联网系统将马力带到边缘
Microsoft向SQL Server 2016推出了SQL Server 2016,对Woo Oracle客户进行了特别交易
参议员在监视问题上摊位智力资金账单
第一眼:智能手机摄影的Dynaoptics镜头
MSSP如何扩大其安全分析师的容量
欧盟支持基金鼓励初创企业和企业之间的数据共享
此恶意软件假装WhatsApp,Uber和Google Play
如何更辩护
特斯拉刚刚在模型S轿车中进行了巨大的变化(提示:这不是技术功能)
为什么U.K.留下欧盟的投票将对其数据保护规则产生影响
巧克力制造商Barry Callebaut在云上变得甜蜜
它公司获得了种族对象存储,以提高基于S3的产品
Red Hat添加Gluster元数据缓存和容器部署
谷歌的南达希海被黑了;哪个首席执行官将接下来?
诺基亚对其新的物联网平台寄予厚望
惠普以新的方式销售PC,因为它试图加快升级
黑客泄露Mark Zuckerberg和其他值得更斯的社交媒体账户
网络钓鱼与假谷歌Docs应用程序获得个人
毕马威推出运动鼓励女性进入技术
2036的技术期望:披萨送货无人机和头像约会
我如何在30分钟内从零到超频
是在法国举行的道德问题吗?
修补周二:IE /边缘共享漏洞利用,Windows 10进步构建10586.420
华硕挑战iPad Mini与较少的Zenpad Z8
Debenhams Data Breacal强调需求供应链安全
Yelp部署Splunk以改善数据访问
Unit4为服务中心ERP系统添加了机器学习
报告称,数字排除仍然是当地政府的问题
OpenReach询问Comms提供商如何改善宽带接入
新获取Windows 10 Nagware屏幕到达 - 无需安装任何内容
CIO采访:尼克梅斯,IT总监GALA休闲
Salesforce通过推动推动,让每个人都有一个应用程序开发人员
外包服务左侧斯科特拉德银行客户数据暴露
黑莓进入红色,因为收入下降了三分之一
rudd背面的端到端加密
三星获得美国云服务公司的快乐
英国的女孩参加网络技能活动,以促进科技职业
这家公司希望为企业提供视频消息的懈怠
Lenovo Eyes New AR,VR设备与Google项目探戈
演示显示GPU不仅仅是简单的加速器
Microsoft的大型Windows 10 Update推出于8月2日
在eBay上取得硬盘,Craigslist仍然成熟,剩余数据
近四分之一的安全专业人士对加密威胁失明
Centurylink Eyes APAC管理安全市场
您的位置:首页 >科技 > 通信技术 >

NCSC表示,人们可以成为网络安全中最强的联系

2021-07-09 08:44:25 [来源]:

信息安全传统上由技术领导,结果,人们的角色和价值被忽视了。这是Emma W,以人为本的安全团队在英国国家网络安全中心(NCSC)领先。

她在每周告诉计算机的情况下,作为最薄弱的联系,人们对人们的感知是不公平的。

“我们并不总是有人在网络安全方面工作,深入了解人类行为或心理学家,社会科学家等意见,告诉我们为什么人们行为他们的行为。

“因此,组织倾向于将用户视为应该在被告知那样的人,但他们并不总是,往往是因为他们不能。

“然而,这些原因往往无法识别,而是用户被视为不可于操作或愚蠢的,但这不是真的,是我们必须转身的感知,”她说。

最终用户通常归咎于故障的位置是密码,但许多组织具有不合理的期望。

大多数人发现它挑战要记住多个密码,特别是当组织坚持长期和复杂的密码时必须定期更改。

她说,而不是批评未能遵守不合理的密码政策的员工,而是需要更复杂的了解人类如何成为安全资产。

“他们需要了解,如果人类似乎糟糕的安全性,那就是因为他们被要求做难或不切实际的事情。”

NCSC认为这表明需要重新重塑IT系统中IT安全团队与IT系统的用户之间的关系。

虽然一些信息安全专业人员了解他们的角色是支持和使业务能够实现业务,但艾玛W表示在理解如何与最终用户有关的情况下取得更少的进展。

她说,用户仍然认为安全成为警察角色,而且感到充满信心或者太害怕与安全团队谈论他们拥有的挑战以及他们认为需要弯曲甚至藐视安全规则以获得工作为了害怕以某种方式制裁而害怕。

“这是我们需要重塑的关系,以及这是一个关键部分,它是安全团队与组织的其余部分之间的双向沟通​​,而不是用户当前的常见看法,即安全刚刚坐在自己的筒仓中并告诉每个人否则他们需要做什么,“她说。

“实际上,安全专业人士没有所有的答案,用户都有贡献,以便提供一些答案。安全专业人士需要开始倾听用户正在尝试的内容,并明白它们可能是最强的,而不是安全的最薄弱的联系。“

EMMA W表示,最终用户应该被视为一个积极的资产,这些资产是安全专业人员没有关于业务如何运行以及如何运行的信息,而不是被视为必须管理的责任,而不是被视为必须管理的责任。

“安全专业人士需要审查他们如何收集有关安全信息的信息,因此他们可以获得正确的支持,以发现他们的业务面临的真正问题并修复它们,”她说。

安全专业人员还需要了解偶尔的安全意识培训和基于海报的意识活动,不能替代有意义的双向通信,使他们能够了解人们需要的安全性以及安全如何有助于支持业务。

“这是关于安全团队发现一个组织真正发生的事情,为什么人们没有做安全团队希望他们要做的事情 - 而且它可能不是因为人们是弱势,愚蠢或故意试图破坏安全努力,“艾玛W.

“大多数人都很善意,知道他们应该做的事情,但他们试图完成工作任务,组织没有给他们正确的方式,”她说,结果是任务可能已经完成,但不能以最安全的方式完成。

员工觉得他们无法在系统内工作,或者他们正在运行被惩罚的风险,因为他们无法控制的东西,他们会寻找替代工作的方式,这就是由于地下驾驶而导致的阴影和实际工作流程的替代方式。她说。

出于这个原因,NCSC正在支持人们在网络安全方面有可能组织的最强烈的联系,并且鼓励组织旨在朝着产生积极的协作解决方案,让用户有机会表明他们是最大的资产安全,尽可能多的商业。

用户通常会归咎于密码周围的失败,但这主要是因为大多数人发现很难关注公司的密码策略。

“安全团队需要接受人们不记得多个复杂的密码,并且没有多少意识培训正在解决问题,”Emma W.“安全专业人士必须了解他们必须从用户那里采取痛苦并找到替代方式解决问题。“

她说,组织应该审查他们的密码策略,只在必要时应用密码,并查看以易于使用的替代身份验证方法替换密码。

一旦组织拍摄了一些密码,他们就可以开始对他们预计员工创造的那种密码更加逼真,而不是要求员工将难以记住的非常长而复杂的密码。

“组织应该审查他们是否可以通过更短,更简单的密码和常规密码更改的东西进行越来越多的东西,这在现实中提供了很少的额外保护,但却是许多人的生活的努力,”艾玛W.

“它涉及主要评估事物的现实是因为在现实中假设了传统密码管理的许多好处,并且由于未能面对这些假设不正确的事实,因此组织承担额外的风险。“

oOganisations必须面对这一事实,即某些旧的工作方式在安全方面无效,通过考虑到真正的工作方式,致力于提供真正的安全,人们需要做些什么,以及他们如何做的事情她说,很容易,有效和安全。

NCSC的一种方式使这种新的网络安全方法是通过在关键网络安全主题上发布的所有指导中阐述其原则。

Emma W将在她的演讲人员中更详细地讨论这种新方法:6月6日至8日,伦敦InfoSecurity Europe 2017年的最强链接。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。