CISO需要从过去枯燥的培训视频中寻找更具激励性的安全立场

没有一个安全专家会否认数据安全有一个巨大的问题，甚至人类错误是一个主要因素。 然而，安全解决方案的重点是修复技术，而不是人民。 在员工最佳实践方面，年复一年地推出同样的疲劳培训课程和惩罚措施。

“我得到了一些动画电源点，并被告知‘用这个让俄罗斯人远离你的网络’，”电梯安全公司的联合创始人马莎·塞多娃（如图）说，“这是一个恶作剧——除非你的工作线。

在旧金山的RSA会议上，塞多娃和硅谷媒体的移动直播工作室CUBE的主持人约翰·弗里尔进行了交谈。 他们讨论了人的因素对网络安全的重要性，以及遵守安全最佳做法应如何成为雇员的有益活动。

本周，CUBE在其“妇女参与科技”(Women In Tech)的功能中聚焦了MashaSedova。

一个STEM的人才在塞多娃的血统中运行。 她的祖母在20世纪50年代以计算机科学学位毕业，在此之前，女人们被告知编程是一个男孩的游戏。 塞多娃的爸爸在她六年级的时候教她密码，而塞多娃是一个聪明的孩子，既喜欢艺术，也喜欢科学。 她很早就上了大学，从西蒙岩的巴德学院获得了第一个学位，然后被授予塔尔萨大学计算机安全学士学位。

在网络安全方面有十年的经验，其中包括为全球安全公司Northrop Grumman Corp.工作，以及在BAE系统公司的IT脆弱性评估项目，Sedova加入了云先锋Salesforce Inc.，担任主任。 所有这些经验都加强了她的企业安全专业知识。

“人是最薄弱的环节，”是一个众所周知的安全漏洞。 但正如Sedova的Power Point经验所表明的那样，该行业往往依赖于传统的培训方法，这些方法远远没有效率。 她说：“这就是为什么人类的错误是我们漏洞的巨大来源。

塞多娃开始考虑将行为科学、积极心理学和游戏设计领域的解决方案整合到安全培训中。 在一个“aha”的时刻，她意识到营销和销售专业人员在他们的活动中参与人的因素的方式同样适用于激励员工注意安全。

“这不是人们所知道的，而是他们所做的才是重要的，”她说。

她以吸烟者为例，他们知道风险，但仍然选择吸烟。 塞多娃说：“他们认为这不适用于他们——安全也是如此。

工人们知道他们需要遵循的安全措施，但他们没有动力去做。

她开始为Salesforce员工开发更多的互动培训课程，结果绝大多数是积极的。“[Sedova]将经常僵化和僵化的安全培训实践变成了一种有趣、吸引人和娱乐的体验，”Sedova的Salesforce同事WarwickWe bb说。

看到市场需要一个解决动机因素的安全解决方案，Sedova和安全工程专家RobertFly离开Salesforce找到了电梯安全。 该公司的名字源于其“提升人的力量安全”的目标。通过将人添加到传统的安全解决方案中，重点放在技术和流程上，电梯团队创建了一个“人的力量”的整体安全模型。

塞多娃说：“我们的专长是了解人们在什么时候和在什么情况下需要什么信息，这些信息最能改变他们的行为。

方法奏效了。 在玩了电梯的训练游戏“黑客的思想”后，员工报告潜在安全问题的可能性增加了80%，对潜在钓鱼计划和可疑链接的了解增加了48%。

除了激励和有趣的培训方法外，首席安保干事和安保小组还可以使用仪表板地图，以了解各组织目前的安保优势和弱点。 监控可能导致安全漏洞的活动，如网络钓鱼、点击、恶意软件安装和其他，被用来驱动行为改变。 激励因素只是向员工展示他们的安全绩效与同龄人的比较。

员工获得个性化的、量身定制的安全统计反馈，并被授予徽章，以遵循公司的安全政策。 一个领导委员会比较部门绩效，创造了高管之间的友好竞争。

“我会告诉你高管喜欢赢，”塞多娃说。 “因此，我们看到了这一举措的巨大变化。

电梯鼓励的另一个根本变化是从基于恐惧的安全执法转变为促进积极强化的安全执法。 根据Sedova的个人经验，大约20%的员工天生就有安全意识，70%的员工不在乎这种或那种方式，10%的员工拒绝认为安全很重要。

虽然惩罚可能是解决这10%问题的唯一方法，但通过让最佳安全实践变得有趣，并通过表扬和公众认可来加强良好行为，电梯的解决方案激励了70%。

根据Sedova的说法，提升安全的以人为中心的安全方法的美在于它可以应用于任何公司或组织。 “人类元素是一个普遍存在的问题，”她说。 “无论身处什么样的公司，人类都会犯同样的错误。