CISO需要從過去枯燥的培訓(xùn)視頻中尋找更具激勵性的安全立場

2020-04-02 09:47:37 編輯：來源：

導(dǎo)讀沒有一個安全專家會否認(rèn)數(shù)據(jù)安全有一個巨大的問題，甚至人類錯誤是一個主要因素。然而，安全解決方案的重點(diǎn)是修復(fù)技術(shù)，而不是人民。在員工最佳實(shí)踐方面，年復(fù)一年地推出同樣的疲勞培訓(xùn)課程和懲罰措施。 “我得到了一些動畫電源點(diǎn)，并被告知‘用這個讓俄羅斯人遠(yuǎn)離你的網(wǎng)絡(luò)’，”電梯安全公司的聯(lián)合創(chuàng)始人馬莎·塞多娃（如圖）說，“這是一個惡作劇——除非你的工作線。在舊金山的RSA會議上，塞多娃和硅谷媒體的移動

沒有一個安全專家會否認(rèn)數(shù)據(jù)安全有一個巨大的問題，甚至人類錯誤是一個主要因素。然而，安全解決方案的重點(diǎn)是修復(fù)技術(shù)，而不是人民。在員工最佳實(shí)踐方面，年復(fù)一年地推出同樣的疲勞培訓(xùn)課程和懲罰措施。

“我得到了一些動畫電源點(diǎn)，并被告知‘用這個讓俄羅斯人遠(yuǎn)離你的網(wǎng)絡(luò)’，”電梯安全公司的聯(lián)合創(chuàng)始人馬莎·塞多娃（如圖）說，“這是一個惡作劇——除非你的工作線。

在舊金山的RSA會議上，塞多娃和硅谷媒體的移動直播工作室CUBE的主持人約翰·弗里爾進(jìn)行了交談。他們討論了人的因素對網(wǎng)絡(luò)安全的重要性，以及遵守安全最佳做法應(yīng)如何成為雇員的有益活動。

本周，CUBE在其“婦女參與科技”(Women In Tech)的功能中聚焦了MashaSedova。

一個STEM的人才在塞多娃的血統(tǒng)中運(yùn)行。她的祖母在20世紀(jì)50年代以計(jì)算機(jī)科學(xué)學(xué)位畢業(yè)，在此之前，女人們被告知編程是一個男孩的游戲。塞多娃的爸爸在她六年級的時候教她密碼，而塞多娃是一個聰明的孩子，既喜歡藝術(shù)，也喜歡科學(xué)。她很早就上了大學(xué)，從西蒙巖的巴德學(xué)院獲得了第一個學(xué)位，然后被授予塔爾薩大學(xué)計(jì)算機(jī)安全學(xué)士學(xué)位。

在網(wǎng)絡(luò)安全方面有十年的經(jīng)驗(yàn)，其中包括為全球安全公司Northrop Grumman Corp.工作，以及在BAE系統(tǒng)公司的IT脆弱性評估項(xiàng)目，Sedova加入了云先鋒Salesforce Inc.，擔(dān)任主任。所有這些經(jīng)驗(yàn)都加強(qiáng)了她的企業(yè)安全專業(yè)知識。

“人是最薄弱的環(huán)節(jié)，”是一個眾所周知的安全漏洞。但正如Sedova的Power Point經(jīng)驗(yàn)所表明的那樣，該行業(yè)往往依賴于傳統(tǒng)的培訓(xùn)方法，這些方法遠(yuǎn)遠(yuǎn)沒有效率。她說：“這就是為什么人類的錯誤是我們漏洞的巨大來源。

塞多娃開始考慮將行為科學(xué)、積極心理學(xué)和游戲設(shè)計(jì)領(lǐng)域的解決方案整合到安全培訓(xùn)中。在一個“aha”的時刻，她意識到營銷和銷售專業(yè)人員在他們的活動中參與人的因素的方式同樣適用于激勵員工注意安全。

“這不是人們所知道的，而是他們所做的才是重要的，”她說。

她以吸煙者為例，他們知道風(fēng)險，但仍然選擇吸煙。塞多娃說：“他們認(rèn)為這不適用于他們——安全也是如此。

工人們知道他們需要遵循的安全措施，但他們沒有動力去做。

她開始為Salesforce員工開發(fā)更多的互動培訓(xùn)課程，結(jié)果絕大多數(shù)是積極的。“[Sedova]將經(jīng)常僵化和僵化的安全培訓(xùn)實(shí)踐變成了一種有趣、吸引人和娛樂的體驗(yàn)，”Sedova的Salesforce同事WarwickWe bb說。

看到市場需要一個解決動機(jī)因素的安全解決方案，Sedova和安全工程專家RobertFly離開Salesforce找到了電梯安全。該公司的名字源于其“提升人的力量安全”的目標(biāo)。通過將人添加到傳統(tǒng)的安全解決方案中，重點(diǎn)放在技術(shù)和流程上，電梯團(tuán)隊(duì)創(chuàng)建了一個“人的力量”的整體安全模型。

塞多娃說：“我們的專長是了解人們在什么時候和在什么情況下需要什么信息，這些信息最能改變他們的行為。

方法奏效了。在玩了電梯的訓(xùn)練游戲“黑客的思想”后，員工報告潛在安全問題的可能性增加了80%，對潛在釣魚計(jì)劃和可疑鏈接的了解增加了48%。

除了激勵和有趣的培訓(xùn)方法外，首席安保干事和安保小組還可以使用儀表板地圖，以了解各組織目前的安保優(yōu)勢和弱點(diǎn)。監(jiān)控可能導(dǎo)致安全漏洞的活動，如網(wǎng)絡(luò)釣魚、點(diǎn)擊、惡意軟件安裝和其他，被用來驅(qū)動行為改變。激勵因素只是向員工展示他們的安全績效與同齡人的比較。

員工獲得個性化的、量身定制的安全統(tǒng)計(jì)反饋，并被授予徽章，以遵循公司的安全政策。一個領(lǐng)導(dǎo)委員會比較部門績效，創(chuàng)造了高管之間的友好競爭。

“我會告訴你高管喜歡贏，”塞多娃說。 “因此，我們看到了這一舉措的巨大變化。

電梯鼓勵的另一個根本變化是從基于恐懼的安全執(zhí)法轉(zhuǎn)變?yōu)榇龠M(jìn)積極強(qiáng)化的安全執(zhí)法。根據(jù)Sedova的個人經(jīng)驗(yàn)，大約20%的員工天生就有安全意識，70%的員工不在乎這種或那種方式，10%的員工拒絕認(rèn)為安全很重要。

雖然懲罰可能是解決這10%問題的唯一方法，但通過讓最佳安全實(shí)踐變得有趣，并通過表揚(yáng)和公眾認(rèn)可來加強(qiáng)良好行為，電梯的解決方案激勵了70%。

根據(jù)Sedova的說法，提升安全的以人為中心的安全方法的美在于它可以應(yīng)用于任何公司或組織。 “人類元素是一個普遍存在的問題，”她說。 “無論身處什么樣的公司，人類都會犯同樣的錯誤。