有效降低网络安全中的人为风险，关键在于采取以人为本的方法。这种方法的核心在于通过高效的培训和实践，使员工掌握安全知识、践行安全行为，并最终培育出安全且相互支持的文化氛围。

诚然，技术和政策必须为良好的安全行为提供支持、支撑和赋能，但首要且根本的是坚持人的视角。毕竟，技术和政策只有在能够正确引导人类行为时，才能真正降低网络安全风险——无论是促进积极行动（如及时报告安全事件），还是保护行为免受外部威胁（例如通过防火墙或邮件过滤器）。

支撑和指导这种以人为本思维的价值观是：自主、公平、信任与公正。这些价值观是构建工作与生活中支持性关系的基石，也是卓越领导者致力于向员工灌输的理念。所有努力的焦点必须是赋能于人并以身作则——这一原则直接适用于网络安全领域的人员管理。

将网络安全计划融入组织价值观

推动网络安全计划的价值观，应当与整个人力资源（HR）和人员职能所秉持的价值观保持一致。网络安全必须成为人员赋能整体方案的一部分，而不再是信息安全团队事后添加的考量、可有可无的附加项或独立的事项。它应转变为在工作中学习、持续改进的机会，以及提升工作效能的手段。因此，设计网络安全计划时，应致力于将每一种风险转化为学习与成长的契机。

举例来说，员工可能被诱骗加入由深度伪造（Deepfake）技术生成的虚假在线会议。此时，可以设计一个深度伪造场景作为培训工具，教导员工如何识别此类威胁并进行自我保护。员工会认可此类培训的时效性，因为他们很可能已经在社交媒体或个人网络中担忧过深度伪造的风险。换言之，要创造信息丰富、注重体验并能建立信任关系的培训材料。

每一次将网络安全风险转化为学习体验的机会，都是提升员工韧性与应对能力的良机。当员工能够敏锐察觉新兴威胁、掌握安全实践，并在面对挑战时采取安全行动，整个团队就能保持高效，专注于价值创造。

平衡安全摩擦与业务流畅：构建以人为本的共同责任

精心调校的网络安全措施至关重要，但必须避免不必要的摩擦和干扰。许多组织在启动人为风险管理计划时，常将网络安全视为IT部门的责任，而非整体战略的核心要素。

将网络安全提升为全体员工的共同责任，使其成为每个人的关切点，这是安全意识和文化建设专业人员面临的挑战。网络安全绝不应仅为安全而存在——风险管理的目标从来不是将风险最小化，而是在管理可接受风险水平的同时，最大化价值创造。

因此，网络安全培训、工具和流程必须力求在提供最大安全保障的同时，为用户带来最小的负担。Gartner 将这种最小化负担的理念称为“卓越的用户体验”。然而，常见的意识项目往往内容重复、缺乏新意；或者未能提供实用的工具和清晰可行的政策。这些问题都会制造不必要的阻力。

更有效的网络安全举措致力于推动影响安全结果的多个维度发生积极改变。此时，安全文化作为良好安全行为的温床，其重要性就凸显出来。应有策略性地运用摩擦来创造深刻难忘的学习体验，从而推动安全文化特定元素的转变——而不应是在未触及行为改变核心的情况下，反复制造无效的摩擦。当确需驱动行为改变时，摩擦才变得必要且可接受。

事实上，适度的摩擦是必要的，它帮助人们摒弃现有的不安全行为模式，为新习得的安全行为腾出空间。

来源：Human Risk Management: Cybersecurity as a Business Enabler

部分图片来自freepik

HumanRisk

HumanRisk 自动化网络安全意识与合规教育服务平台(以下简称“HumanRisk 平台”)，是易念科技基于中国用户场景，应用行为心理学的核心思想，自主研发的面向“人为因素风险”的网络安全意识教育管理平台。通过体验工具、课程商城、学习管理、钓鱼演练和活动运营五大模块，全面覆盖了从态度、知识、行为、技能和文化的安全意识教育全过程。平台不仅提供了丰富的学习资源和工具，还通过创新的教育方法和手段，提升员工风险防范能力，在适当环境中激发理想的安全行为，评价和量化员工安全意识水平，赋能组织建立人员安全的全过程管理，提升风险管理水平。

HumanRisk 平台提供公用云 SaaS 服务，并支持企业私有云部署，既可单独使用也可组合，提供线上线下结合的服务方案，全面满足各类企业、不同规模和成熟阶段的教育培训需求。