有效降低網絡安全中的人為風險，關鍵在于采取以人為本的方法。這種方法的核心在于通過高效的培訓和實踐，使員工掌握安全知識、踐行安全行為，并最終培育出安全且相互支持的文化氛圍。

誠然，技術和政策必須為良好的安全行為提供支持、支撐和賦能，但首要且根本的是堅持人的視角。畢竟，技術和政策只有在能夠正確引導人類行為時，才能真正降低網絡安全風險——無論是促進積極行動（如及時報告安全事件），還是保護行為免受外部威脅（例如通過防火墻或郵件過濾器）。

支撐和指導這種以人為本思維的價值觀是：自主、公平、信任與公正。這些價值觀是構建工作與生活中支持性關系的基石，也是卓越領導者致力于向員工灌輸的理念。所有努力的焦點必須是賦能于人并以身作則——這一原則直接適用于網絡安全領域的人員管理。

將網絡安全計劃融入組織價值觀

推動網絡安全計劃的價值觀，應當與整個人力資源（HR）和人員職能所秉持的價值觀保持一致。網絡安全必須成為人員賦能整體方案的一部分，而不再是信息安全團隊事后添加的考量、可有可無的附加項或獨立的事項。它應轉變為在工作中學習、持續改進的機會，以及提升工作效能的手段。因此，設計網絡安全計劃時，應致力于將每一種風險轉化為學習與成長的契機。

舉例來說，員工可能被誘騙加入由深度偽造（Deepfake）技術生成的虛假在線會議。此時，可以設計一個深度偽造場景作為培訓工具，教導員工如何識別此類威脅并進行自我保護。員工會認可此類培訓的時效性，因為他們很可能已經在社交媒體或個人網絡中擔憂過深度偽造的風險。換言之，要創造信息豐富、注重體驗并能建立信任關系的培訓材料。

每一次將網絡安全風險轉化為學習體驗的機會，都是提升員工韌性與應對能力的良機。當員工能夠敏銳察覺新興威脅、掌握安全實踐，并在面對挑戰時采取安全行動，整個團隊就能保持高效，專注于價值創造。

平衡安全摩擦與業務流暢：構建以人為本的共同責任

精心調校的網絡安全措施至關重要，但必須避免不必要的摩擦和干擾。許多組織在啟動人為風險管理計劃時，常將網絡安全視為IT部門的責任，而非整體戰略的核心要素。

將網絡安全提升為全體員工的共同責任，使其成為每個人的關切點，這是安全意識和文化建設專業人員面臨的挑戰。網絡安全絕不應僅為安全而存在——風險管理的目標從來不是將風險最小化，而是在管理可接受風險水平的同時，最大化價值創造。

?

因此，網絡安全培訓、工具和流程必須力求在提供最大安全保障的同時，為用戶帶來最小的負擔。Gartner 將這種最小化負擔的理念稱為“卓越的用戶體驗”。然而，常見的意識項目往往內容重復、缺乏新意；或者未能提供實用的工具和清晰可行的政策。這些問題都會制造不必要的阻力。

更有效的網絡安全舉措致力于推動影響安全結果的多個維度發生積極改變。此時，安全文化作為良好安全行為的溫床，其重要性就凸顯出來。應有策略性地運用摩擦來創造深刻難忘的學習體驗，從而推動安全文化特定元素的轉變——而不應是在未觸及行為改變核心的情況下，反復制造無效的摩擦。當確需驅動行為改變時，摩擦才變得必要且可接受。

事實上，適度的摩擦是必要的，它幫助人們摒棄現有的不安全行為模式，為新習得的安全行為騰出空間。

來源：Human Risk Management: Cybersecurity as a Business Enabler

部分圖片來自freepik

HumanRisk?

HumanRisk 自動化網絡安全意識與合規教育服務平臺(以下簡稱“HumanRisk 平臺”)，是易念科技基于中國用戶場景，應用行為心理學的核心思想，自主研發的面向“人為因素風險”的網絡安全意識教育管理平臺。通過體驗工具、課程商城、學習管理、釣魚演練和活動運營五大模塊，全面覆蓋了從態度、知識、行為、技能和文化的安全意識教育全過程。平臺不僅提供了豐富的學習資源和工具，還通過創新的教育方法和手段，提升員工風險防范能力，在適當環境中激發理想的安全行為，評價和量化員工安全意識水平，賦能組織建立人員安全的全過程管理，提升風險管理水平。

HumanRisk 平臺提供公用云 SaaS 服務，并支持企業私有云部署，既可單獨使用也可組合，提供線上線下結合的服務方案，全面滿足各類企業、不同規模和成熟階段的教育培訓需求。

HumanRisk誠邀渠道伙伴，共拓千億網安培訓藍海！

誠邀您加入群聊

政策法規驅動企業安全意識培訓剛性需求爆發。HumanRisk作為行業領先者，提供AI驅動培訓平臺/服務，助您輕松滿足客戶合規與提升需求。作為渠道伙伴，您可直接銷售我們的產品或服務，專注市場開拓，享受豐厚利潤分成，共享持續增長紅利！實力渠道商速聯，共贏未來！