这就好比说系安全带会带走开车的乐趣。或者把车锁起来会让人们开车时表现不佳。”“如果有人把钥匙落在车里,小偷把车开走了,你不会责怪制造商。司机应该负责任。
“在我们生活的世界里,安全防范已成为第二天性,人们会不断适应。”
也就是说,人们普遍认为,安全培训确实需要考虑员工的工作方式,不能太过严格,否则会扼杀员工的工作效率。
Hawthorn称之为“现实”。用户安全策略就像饮食一样。如果它们无法持续,你又没有办法执行,无论是使用技术控制还是解雇员工,你最终只能得到一些渐渐消失的东西,或者人们会欺骗你,”他说。
“所以,是的,给用户现实的指导是强大的,因为它既是可持续的,也是可关联的,这使培训与用户紧紧相连。”
斯皮茨纳还表示,“专注于完美的安全,却忘记了其中涉及到真实的人”是错误的。
“密码就是一个很好的例子。安全研究人员一直在讨论什么是‘完美’密码,结果却只能想出一个没人能记住或遵守的解决方案,”他说。“人类的安全完全取决于行为——行为越困难,完成的可能性就越小。”
贝拉尼说,训练要想有效,就必须超越意识,进入“行为条件作用”。他引用了诺贝尔奖得主丹尼尔·卡尼曼他说,当人们在做重复性任务时,大脑倾向于在不需要深入思考的自动驾驶模式中运行——他称之为“第一系统”。对于更复杂的任务,它使用一种需要更多努力的更深思熟虑的过程,即“系统2”。
贝拉尼说,关键是要培训员工,“主动使用第二系统的审慎思考过程,通过关注我们第一系统通常会忽略的某些细节,来识别出什么事情超出了常规。”
他说,这种条件设置实际上帮助工人区分合法的和恶意的,使他们更有效率。
谢莉说,虽然不可能为每个员工提供定制化的培训,但根据他们的部门和技术特点,为不同的员工群体量身定制培训是可能的。
史黛西雪莱他是PhishLabs的副总裁兼首席传播官
“他们使用什么技术?”他们可能会遇到什么威胁?培训与用户日常操作的关系越密切,它就越能引起共鸣并被保留下来。”
人们普遍认为,任何一般意义上的好事——身体健康、饮食、工作——都可能做过头。但他们表示,定期的安全培训并不过分。
卢米斯说,常规的鱼叉式钓鱼测试应该“帮助组织了解谁是最大的钓鱼者,以及如何更好地培训他们,而不是散播不信任。”
雪莱建议把意识训练看作是“一种条件反射,在这种条件下,一个人对攻击的敏感性会随着时间的推移而增加,而不需要经常训练来保持他们的敏锐。”
但是,同样重要的是,对可以完成的事情要有现实的认识。
斯皮茨纳说:“培训绝对可以减少受害者的机会和百分比。”大多数组织可以将失败率降低到5%以下。他们能做到百分之百吗?绝对不是。有什么办法能把风险降低到0%吗?绝对不是。”
相关视频:
这个故事,“意识训练:多少是太多?方案 。