现代企业面临的安全意识挑战

关键要点

• 现代组织在提高安全意识方面遇到的挑战与拯救地球的艰巨任务相似。
• 解决方案并非一成不变，而是需要针对行为进行深入研究。
• 强调行为改变而非仅仅完成培训的成就。
• 企业应利用已有的行为洞察，而不是急于购买新系统。
• 加强密码管理可以有效降低账户安全风险。

现代组织在提升安全意识时所面临的挑战，就像人类拯救地球的使命：看似庞大且几乎不可能的任务，然而却要求几乎每个人的参与，并且往往是在微薄的预算下完成。

没有万能的解决方案。阅读新闻时，我们能清晰地感受到，拯救地球需要持续的政策推进、技术进步、态度转变和行为改善，或许还需要点运气。**** 的问题也同样如此。

我并不是在写一篇末日危机的文章。相反，我对人类及其解决问题的能力充满信心。目前，我将把政策留给政策制定者，把技术留给技术专家，而专注于我们的态度和行为，以及为何行为洞察能够促进安全意识活动。

优化行为而非单纯关注成就

自小，我们就被教育关注成就。然而，经过认证的安全意识和培训（SA&T）项目往往鲜有人会说“谢谢”，尽管内容经过精心选择，学习路径十分复杂。很少有SA&T解决方案能提供深入的洞察，大多数上报的关键绩效指标（KPI）仅仅是完成率和实际事件的混合。

我看到的更多是安全团队讨论行为，而非强制培训和成就。通过衡量一致的积极安全行为，公司直接且可测量地降低了风险。我们从“为什么那个人会点击钓鱼攻击？”转变为“多数员工很久没使用报告工具了，我们该如何做？”

英国国家网络安全中心（NCSC）已，越来越多的组织开始采纳。这为整个行业带来了启示，专注于行为洞察和行为改变，培训负担减轻，人们满意度提升，安全团队则能够将准确的数据呈现给高层。

挖掘组织内的洞察

企业无需急于购买新基础设施。当我与大多数人谈论行为洞察软件时，他们容易将其与“监视”联系起来。其实并非如此。事实上，企业现有系统中隐藏着宝贵的行为洞察，包括生产力工具、身份提供者（IdP）和安全工具等。正在兴起的行为风险软件品类，通过简化测量、展示洞察和自动化干预措施，使这一过程更加高效。

如何改变行为

首先，可以参考。它是一个由社区驱动的税onomies，涉及与风险相关的行为结果。选择优先的风险和行为，从中选取几个开始观察和监测。例如，行为，每当用户通过SSO登录服务时，IDP都将记录一次。减少一个密码的使用，对每个人都大有裨益。相关的风险结果是，这是CISO和董事会越来越希望看到的。现在，安全团队将拥有深入的洞察，能思考行为改变。利用数据进行针对性和具体化的干预。一项新使命浮出水面：推动并监测SSO的采纳，而不是依赖强制培训提及这一点。

安全团队可以立即采取的行动

根据我们从全球数十万人的研究中收集的数据，我们发现如今每四个人中，就有一个可能存在不安全的密码行为，这极大地增加了账户被攻击的风险。

安全团队可以通过推广密码管理器开始行动。人们普遍