根据雇主联盟的一项评估，95%的信息安全事故都涉及人员因素。没错，从广义上看，即使极端气候、自然灾害，或者战争瘟疫、封闭隔离等等带来的安全事故，也很难与人为错误因素彻底分开。因此，信息管理风险经理和首席信息安全官(CISO)在创建和实施信息安全政策及程序时，应充分考虑人员因素——幼稚（无知）、懒惰（冷漠）和疲劳（麻木），以最大限度地减少人为因素带来的安全事故。

近年来，在一些最成功的攻击中，威胁行为者利用了幼稚、懒惰和疲劳等人性弱点。一项调查显示，在遭受恶意数据泄露的大型企业中，有五分之一因账号被盗或受损而被渗透，使这些企业的平均泄露总成本达到人民币3000万元。对此，昆明亭长朗然科技有限公司信息安全管理专员董志军表示：组织机构应该积极努力消除人类幼稚、懒惰和疲劳带来的风险，这反过来又有助于消除社会工程和网络钓鱼攻击带来的威胁。

幼稚无疑是缺乏足够的文化教育，懒惰可能也是缺乏信息的结果，如果沟通不明确或缺乏，则员工们不知道组织在安全方面的立场。因此，组织的规则及其存在的原因必须清晰透明，否则，人们很容易忽视它们。可以通过向员工们提供信息安全意识培训来帮助防范惰性。

计算机系统可以无休止地工作，人类却是肉身，时间较长的工作就容易疲劳，这使得他们更容易出错。因此，防范疲劳也应该成为组织安全政策的一部分，如同交规强调不可疲劳驾驶一样，组织需为员工提供疲劳对策，比如通过强制休息、轮岗等措施，以防范机械和麻木。

组织需要向员工们提供一份安全政策清单，其中包括所有重要的强制性常规任务和一个自我执行的指标，以确定他们是否已完成常规的安全任务。一方面，在网络安全、数据丢失预防以及信息系统程序方面，组织需要制定强有力的政策和程序以保护免受各种威胁；另一方面，组织应通过教育培训活动，以确保所有员工都熟悉公司安全政策并有动力遵守规则。这两方面缺一不可，没有强制性的技术、流程等管控措施，教育培训只能流于形式；同样，没有教育培训，技术和流程等控管措施不会获得好的效果、不会生效甚至适得其反。

为帮助降低人为错误带来的风险，安全策略应明确概述如何处理关键数据、如何保护密码安全、使用哪些安全软件等等。组织应确保所有员工都熟悉安全政策并有动力遵守安全规则，仅在需要时根据具体情况允许特权访问，并监控用户活动以检测恶意活动。对此，董志军补充说：安全政策的缺乏，或实施方面的差距都会导致安全漏洞（弱点）。此外，安全环境和威胁不断演变，定期审查关键政策对于有效实施它们也是必不可少的。

工作场所中的任何人为错误都会对组织的设施、运营、客户关系和信誉产生级联影响。因此，制定稳健的政策和流程以减少人为错误至关重要。所有用户必须采取预防性措施来保护自己和他们负责的数据。组织机构和员工们必须保持警惕，不要让幼稚、懒惰或疲劳对工作环境的信息安全带来隐患。在信息安全方面，当用户们拥有了知识、责任感和警惕心，那些通常会导致人为失误的无知、冷漠、麻木等人性弱点就会被修复、压制和磨灭。

总之，在信息安全事件中，人为失误因素带来的损失不容小觑，为了防范人性弱点，必须建立强有力的政策和程序，同时提供足够的安全意识教育培训，以加强员工们对安全策略的理解、认可和贯彻实施。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

一项调查报告称，由于欺诈性电子邮件造成的损失高达800亿元，这凸显了员工们打开收件箱时，不得不面临的重大风险。从媒体披露的些许个案来看，钓鱼邮件可能会导致严重的数据泄露或经济损失。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：钓鱼邮件非常猖狂，能被媒体公开的，无疑只是冰山一角。对于普通的职场工作人员来讲，只要工作邮箱被公开，就难免被不法分子收集到，进而被钓鱼分子盯上。好在防垃圾邮件系统可以辨识并过滤掉大部分的钓鱼邮件，然而总是难免有漏网之鱼，并且总有一些防不胜防的个性化定制化的钓鱼邮件，即所谓的“鱼叉式网络钓鱼”。

您所在工作单位的员工们是否了解潜在的网络安全风险，以确保他们安全地使用互联网、电子邮件、社交媒体和工作信息系统呢？如何能够识别网络钓鱼威胁或保护数据免于失窃呢？

部署不良消息检测及过滤系统，如垃圾邮件防范技术、网站分类过滤软件和上网行为控制软件等，可以在一定程度上遏制钓鱼邮件及诈骗消息进入员工们的电脑，也可以在一定程度上防止员工们访问到危险的钓鱼网站。但是，这并不足够，原因很简单，道高一尺，魔高一丈。网络不法分子不停地研究突破现有安全防线的新方法，比如，根据一份网络文摘，基于对近年来索赔数据的分析调查结果，勒索软件正成为企业网络损失的一个越来越常见的原因。

勒索软件带来的成本付出远不止支付赎金。与谈判和支付赎金相关的技术和法律费用可能会使解决问题的成本增加三倍或四倍。费用超过几十万的情况并不少见，对于关键的业务流程越来越依赖的数据来讲，如果没有备份，在被加密后，要想完全重建几乎不可能。这正是可以被不法分子牢牢卡住的咽喉。虽然防范勒索软件也有一些技术方案，比如防病毒、防恶意代码措施等等，然而仍然会有勒索软件不断变态，使用新的特征，躲避基于代码基于行为特征的检测。

正确防范之道是在实施技术控制措施的同时，强化人员安全意识和养成良好的安全行为习惯。然而，这并不容易。根据一项严肃的测试结果，在来自各行各业的员工们中，有大量不及格的网络安全答题。即使接受过安全培训的员工们，在参与课后的网络安全主题测试，包括对常见网络安全威胁的理解时，也只有较少比例的人员能够答对80%。这种情况真的很不够好。为改变现状，各类型的组织机构都需要加强对员工们进行信息安全教育，以增强他们对网络安全风险和问题的理解和认识。

信息安全教育的目的不仅仅是为了传播知识或通过考试，更为了改变员工们的安全行为，如果工作单位希望改变职工们的行为，网络安全培训必须定期涵盖一些常规的主题。此外，既然意识和培训计划的最终目标是改变人类行为，而不仅仅是检查合规性（法律遵从情况）。要做好这些，需要认真的思考、周密的计划、清晰的沟通等等。一项好的安全意识计划必须认识到培训和意识之间存在微秒的差异。两者之间的主要区别不仅仅在于用词，更在于培训可以为人们提供知识，意识才能改变人们的行为。当然，我们不必在用词方面过于较真，也它们混为一谈也无妨，否则就是玩文字游戏搞语言腐败。

有些组织机构会强迫人们改变他们的行为，但是人们却不知道为什么需要改变。例如，使用密码策略相关的技术，可以强制用户重置密码，但这并不意味着人们不会循环和重复使用他们的密码。因此，一项有效的安全计划不仅仅要告诉人们应该怎么做，也要告诉人们为什么要那样做。否则，就像很多不知运作原理，只会模仿操作的人员一样，在日常的简单工作中虽然没有问题，但是一旦碰到意外的情况，就会不知所措。

安全专家表示，信息技术领导者应该密切关注数据安全问题。降低数据泄露风险，固然需要许多技术方面的安全防护措施，比如加密、验证、访问控制、日志监控与审计措施等等。此外，也还需要很多管理方面的安全措施，比如数据安全管理制度、分类分级方法、风险评估制度、脱敏管理制度、权限申请及管控流程、备份制度、合规审计、事故应急响应等。当然还有人员方面的安全措施，比如培训管理制度措施、个人信息保护制度等。

虽然最终用户经常因无意中点击恶意链接而受到指责，但过错的并不总是在员工方面，特别是在员工没有足够的安全相关知识的情况下。即使IT人员也不例外，安全人员研究发现：关键数据在没有密码保护的情况下，通过错误配置或上传到公共的代码库而暴露的情形很常见，许多组织机构因此很快就成了头条负面新闻的主角。

总之，人为错误占信息安全事件原因的很大份量，特别是在常规的技术型安全管控措施都已经实施了的情况下，网络不法分子更倾向于利用“人性的弱点”，即发起社会工程学攻击或网络钓鱼。所有这些错误的根源在于缺乏对个人行为如何产生风险的认识，这就是为什么安全意识、教育和培训必须灵活、持续且有料的原因。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。