?10月是安全意識月，這是一個令人興奮的時刻，因為世界各地的企業都在培訓人們如何在工作和家庭中保持網絡安全。但是，安全意識到底是什么?更重要的是，我們為什么要關心它?

根據企業的不同，安全意識有許多其他名稱：安全影響、文化、參與、培訓、教育等。所有這些不同的名字可能看起來令人困惑，但歸根結底，它們都在談論同一件事——管理人類風險。

傳統的方法不起作用　　

企業、網絡安全領袖和網絡安全社區都認為:在當今高度互聯的世界中，人員是最大的安全風險。

最新發布的《威瑞森數據泄露調查報告》(DBIR)指出，全球超過80%的數據泄露事件都與人有關。這些事件可能涉及人們被網絡釣魚郵件或詐騙攻擊的目標，或者人們犯了錯誤(例如，IT管理員錯誤配置了他們的云賬戶，不小心與整個世界共享了敏感數據)。

如果人類具有如此高的風險，應該做些什么呢?　　

傳統的方法一直是在問題上投入更多的技術。如果網絡攻擊者成功利用電子郵件進行網絡釣魚，將部署安全技術，過濾和阻止網絡釣魚式電子郵件攻擊。如果網絡攻擊者正在泄露人們的密碼，將實施多因素認證。問題是，網絡攻擊者繞過這些技術，把目標對準了人員。

隨著我們在識別和阻止釣魚式電子郵件攻擊方面做得越來越好，網絡攻擊者以人們的手機為目標，通過短信或短信進行攻擊。隨著越來越多的企業部署MFA，網絡攻擊者開始用MFA請求糾纏人們，直到他們批準(就像最近發生在Uber)。

這也是我們遇到第二個挑戰的地方:安全團隊太過頻繁地指責人是人為風險問題的根本原因——正如經常使用的短語所證明的那樣，如“人才是最薄弱的一環”和“如果的員工按照我們告訴他們的去做，他們和我們都是安全的。”

但當從普通員工的角度來看網絡安全時，就會發現，安全社區往往是罪魁禍首。我們把網絡安全搞得如此混亂、可怕、勢不可擋，以至于我們讓人們注定要失敗。人們常常不知道該做什么，或者即使他們知道該做什么，做正確的事情變得如此困難，以至于他們做錯了，或者干脆選擇了另一個選項。

只要看看密碼就知道了，它是入侵的最大驅動因素之一。多年來，人們繼續以不安全的方式使用弱密碼，但這個問題仍然存在，因為我們教授的密碼策略令人困惑，而且不斷變化。例如，許多企業或網站的策略要求復雜的密碼為15個字符，包括大小寫字母、符號和數字。然后，我們要求人們每90天更換一次密碼，但沒有提供一種安全的方法來保護所有這些冗長、復雜和不斷變化的密碼。

然后推出MFA來幫助人們安全，但是，再一次，這非常令人困惑(甚至對我來說!)首先，我們對MFA有多個不同的名稱，包括雙因素身份驗證、兩步驗證、強身份驗證或一次性密碼。然后我們有多種不同的方法來實現它，包括推送通知、文本消息、基于FIDO令牌的應用程序、身份驗證應用程序等。你訪問的每個網站都有不同的名稱和技術實現，然后我們再一次責備人們不使用它。

從安全意識到管理人員風險　　

安全意識培訓一直是傳統的方法，它涉及與員工溝通和培訓如何實現網絡安全。雖然這是朝著正確方向邁出的一步，但我們還需要進一步:我們需要管理人為風險。

管理人力風險需要一種更具戰略性的方法。它建立在安全意識的基礎上，包括：

• 風險：安全意識團隊需要成為安全團隊的組成部分，甚至直接向CISO報告。他們的工作應包括與其他安全要素(如安全運營中心、網絡威脅情報分析師和事件響應人員)密切合作，以清楚地確定企業面臨的主要人為風險以及管理這些風險的關鍵行為。一旦那些關鍵的風險和行為被識別并確定了優先級，那么我們就可以就這些行為與我們的員工進行溝通和培訓。
• 政策：我們需要開始創建安全政策、流程和過程，讓人們更容易遵守，我們應該在設計政策(以及支持它們的工具)時考慮到人們。如果希望人們使用強身份驗證，則必須專注于人們容易學習和使用的東西。這個過程越混亂，越需要人工操作，網絡攻擊者就越容易利用這一點。
• 安全團隊：我們需要安全團隊用每個人都能理解的簡單的“人性化”術語與員工溝通，包括解釋他們需求的原因:為什么密碼管理器很重要，MFA對他們有什么價值，以及為什么啟用自動更新對他們有好處。我們必須改變員工對保安團隊的認知:從傲慢到平易近人。

管理人員風險正成為每個安全領導者戰略的基本組成部分。當我們試圖與員工溝通、參與和培訓員工時，安全意識是朝著正確方向邁出的第一步，但我們需要更專注、更戰略性的努力來真正管理人類風險。也許有一天，我們甚至會發展壯大，用人類風險官取代安全意識官的角色。?