行业新闻与博客

在欧洲信息安全虚拟会议上的一次会议上，安全专家小组被要求定义风险的人为因素，以帮助组织量化和管理风险。

Camelot（国家彩票）信息安全负责人 David Boda 表示，定义人为风险的一个重要因素是了解意外行为会导致大量人为风险。

“显然有一个监视恶意活动的地方，但是我看到的绝大多数是偶然的，人类的行为常常归结为人们只是试图完成工作，而无论出于何种原因都很难做到这一点，这会带来风险。

“我认为，作为安全专家，我们的工作是试图了解其根本原因，并尝试以风险管理的方式帮助人们完成工作。”

对于 Cygenta 联合首席执行官杰西卡·巴克（Jessica Barker）博士而言，定义人为风险要素要求我们始终将人置于流程的最前沿。“当我们定义风险的人为因素时，重要的是要考虑到以下事实：在所有技术或安全要素中，人们都参与了生命周期的每个阶段，包括设计，开发，使用，测试，销毁或破坏。删除。”

因此，我们需要考虑我们的开发人员以及他们在网络安全方面的培训方式，“这不仅使交流范围扩大到了与使用技术的人们之间，而且还扩大了交流范围”。

仲量联行 CISO 的 Mark Osborne 还强调了 CISO 在定义和管理与人相关的风险中必须发挥的重要作用。

“大多数 CISO 倾向于喜欢一个'柏忌人'–他们想扮演 [人类风险] 的戏剧。我们一直在谈论“内部威胁”，但实际上，即使是受过最高教育和勤奋的用户也将点击网络钓鱼链接。我认为，在当今时代，违规行为不仅可以归类为偶然事件，而且还可以忽略或缺乏合规意图。”

奥斯本认为，隐含在业务上的安全规则需要由 CISO 更好地执行，这些 CISO“倾向于让一方失望，而不是用户”。

本文由机器译制