SANS 2024人为因素风险管理峰会精华集锦

主旨演讲|跨越数据泄露鸿沟：安全文化扮演的角色(Beyond the Breach: The Role Culture Plays)

演讲嘉宾：Tim Brown, SolarWinds首席信息安全官

• 事件背景: 位于俄克拉荷马州塔尔萨的SolarWinds公司提供包括Orion平台在内的IT管理工具，用于监控网络和基础设施。2019年底，黑客成功入侵SolarWinds Orion软件的开发环境，在其中植入大量恶意代码。FireEye公司于2020年12月最先发现了这次攻击，此次事件影响了全球30多万家大客户，包括财富500强企业和五角大楼、美国宇航局等美国政府机构，堪称史上影响最大、危害最大的供应链攻击APT案例。

• 控制混乱与危机沟通: 在安全事件发生后，第一时间通过清晰的跨部门沟通和明确的责任分工来管理混乱局面是至关重要的。SolarWinds开诚布公地与客户分享已掌握的最新信息，各部门紧密合作，互相关照，强调安全是大家共同的责任，大家都安全才是真得安全。

• 领导力和安全文化: 公司秉承“客户至上”的服务理念，为客户争取最优化的事件响应和处置方案。CEO在建立企业文化和安全亚文化方面的作用至关重要。在危机期间，领导层发出了强有力的声音，指引整个组织妥善处理危机事件。

• 对信息透明度的承诺:不仅在安全事件期间，而且在事件发生后的很长一段时间内，公司强调了对客户和利益相关者保持信息透明的重要性，包括纠正不当的错误信息和虚假信息。

• 持续的恢复努力: 从重大安全漏洞中恢复是一个持续的过程，不仅包括技术修复，还包括通过持续的沟通和展示改进来恢复公众信任。

• 安全文化的影响:一家组织网络安全文化的强弱可能有助于或有碍于事件响应、补救和恢复。SolarWinds强调了强有力的、积极主动的安全文化对于有效管理危机和保持网络弹性的必要性。

演讲议题|安全自我意识：通过自我觉察改变安全文化(Security Self-Awareness: Changing Culture Through Introspection)

演讲嘉宾: Erica Mick，Royal Caribbean Group安全文化与人为因素风险管理负责人

• 尽量理解员工：理解不同员工的安全认知、安全技能水平差异性，设定现实的网络安全期望。根据员工的风险特性、需求、情感和态度采取相应的个性化沟通方式。安全宣传与培训内容应易于理解，安全建议应易于操作，消除学习障碍。

• 增强同理心: 认识到对于绝大部分员工来说网络安全是一个专业性话题，理解他们在工作岗位上面临的安全挑战和困惑。“人为错误”不仅客观存在，而且无法完全避免。员工的抱怨和牢骚是情有可原的，通过同理心弥合分歧，让员工感受到关心和尊重。

• 增进跨部门协作: 深入一线，了解不同部门和岗位的安全需要和诉求。安全流程、安全培训、与安全工具应具有实用性、相关性和易操作性，对用户更友好，能够切实解决不同部门的安全问题，同时不对生产力和工作效率产生严重影响，减少安全摩擦。

• 激励和认可员工：激励与认可作为一种重要的手段，对于促进安全行为的形成和维持具有不可忽视的作用。设定长期激励和短期激励计划，并广而告之，正向激励应多于负向激励，还要考虑激励时机、频率和强度等因素。让员工感受到积极参与安全、保持安全行为是有回报的，有利于提升组织整体的安全管理水平。

演讲议题|恐惧、同理心与团队精神:网络安全沟通背后的心理学(Fear, Empathy, and Team Spirit: The Psychology of Cybersecurity Communication)

演讲嘉宾: David Shultz,  Sans Serif 公司创始人

吸引注意力和改善行为:有效的网络安全沟通始于吸引注意力，并将注意力转化为安全行为的动机。这涉及应用心理学与行为学，使用不同心理触发因素产生共鸣的策略。‍激发行为动机的七个策略:

• 恐惧: 恐惧是一种强大的负向动机，以促使个体采取行动来减少或消除这些负面情绪。在适当情境下，合理利用恐惧的激励作用，可以提升员工的安全意识，减少人为错误发生。

• 羞耻感：在某些情况下，恐惧可能会转化为羞耻感，尤其是当个体因为自己的恐惧反应而感到羞耻时，这种羞耻感可能会成为一种前进的动力。

• 同理心：换位思考的同理心，有助于推动员工落实网络安全责任。

• 趣味性: 让安全学习和信息传播变得轻松有趣，可以增加用户粘性。

• 团队精神：网络安全没有旁观者，人人都是主角儿，全员都是责任人。

• 个性化：使得最佳安全实践贴近实际工作，更具相关性和可操作性。

• 游戏化：通过促进个人和团队在享受乐趣的同时提升排名来激发良性竞争。

正向强化，比运用恐惧等负向动机更有影响力、更有效。激励策略的选择应该与组织的文化保持一致。根据地点、办公环境、地域文化、知识水平和工作领域等因素对受众进行细分，确保传播策略的相关性和有效性。‍

演讲议题|认可革命：如何通过奖励与认可大幅提升员工参与度？(Recognition Revolution: How rewarding and recognising your employees can drastically increase engagement)

演讲嘉宾: Sophie Tate，美国国家电网安全意识和文化主管;Niki Wileman，美国国家电网安全文化、培训与网络弹性总监

• 识别关键行为: 专注于识别和奖励对组织最有价值的特定的积极安全行为。

• 支持倡导者: 找到并支持那些能体现这些关键行为的典型员工，为他们提供认可、奖励、资源和权利的机会。

• 安全行为激励: 常见的安全行为激励法有目标激励、奖惩激励、荣誉激励等，不同的对象应考虑不同的激励方法（看重物质性奖励和精神激励的，应区分对待）。激励的时机、频率和强度也很重要，对行为的反馈越及时越有效，激励的频率应维持在合理水平，奖励/惩罚的力度应根据行为的影响程度而不同，对于重大安全事项，需要加大激励力度，以引起全员重视。实施具有创意和成本效益的认可计划，如“反钓鱼段位带”、荣誉称号（标兵、大使、安全之星）、徽章、证书等等，以激励组织期待的安全行为持续发生。

演讲议题：利用行为数据规划安全意识教育和衡量影响（Using Behavioral Data to Inform Security Awareness Campaigns and Measure Impact）

演讲嘉宾: Jade Meyer, Salesforce 安全意识计划管理负责人

• 针对性教育:根据行为数据分析，面向不同风险级别的员工群体，开展有针对性的宣教、辅导和沟通。避免简单化的“一刀切式”教育，满足不同群体的安全培训需求。

• 跟踪和测量: 定期采集和跟踪员工的行为数据，识别和分析风险行为发生的根因，根据度量指标衡量安全意识教育活动的有效性。

• 人为因素风险评分: 风险评分=严重程度x发生频率，通过人为因素风险仪表板，识别高风险个人/团队/区域，确定需要改进的领域，评估风险发生的原因以及如何减轻风险。

演讲议题|避免文化冲突:如何使安全实践与组织价值观相协调（Avoiding a Culture Clash: How to Harmonize Security Practices with Organizational Values）

演讲嘉宾:Amy Herbert，埃森哲信息安全行为变革主管;Jennifer Bliss，埃森哲信息安全创新组合主管

• 创新培训方法:通过VR、GenAI、游戏化、个性化内容等互动方式吸引员工参与，使安全培训更加有效。

• 与组织文化保持一致:将最佳安全实践与现有的组织文化融合在一起，而不是试图改变它。安全文化策略应符合组织的决策流程、风险容忍度、协作模式和沟通风格。也许安全文化建设的点子很棒，但如果时机不对或与现有文化不相符，那么将很难落地。

• 追求持续改进：根据度量指标、管理层及员工层反馈、IT基础设施变化、新兴安全威胁趋势等，定期回顾、更新安全意识与文化策略。

更多会议资料，请参看SANS官网。

分享·赋能·共进：

欢迎扫码入群，这里有最新的“人为因素”安全风险管理、网络安全意识教育、网络安全文化建设方法论与实战经验，同步国际同行最新发展趋势，优秀企业网络安全文化游学，网络安全文化沙龙活动.......🤗你我共同参与，让“人为因素”不再成为网络与数据安全短板，让网络安全文化蔚然成风，让企业网络安全意识教育与网络安全文化建设少走弯路!!!