2022-12-05

企业的网络安全部门通常被视为“不受欢迎部门”。在网络风险不断升级、攻击面不断扩大和网络犯罪经济快速增长的世界中，安全团队热衷于限制员工可能造成的损害是可以理解的。毕竟，只需一次错误的点击即可释放潜在的破坏性勒索软件入侵。但是，当员工的负担变得太高时，他们可能会以意想不到的方式做出反应，这实际上增加了组织中的网络风险。

这被称为“安全疲劳”。在最坏的情况下，它可能导致鲁莽和冲动的行为，显然这与网络安全团队想要的完全相反。为了解决这个问题，安全性需要更无缝地工作，限制用户需要做出的决策数量，并为混合工作重新平衡保护和生产力。

01 什么是安全疲劳

人类通常被认为是企业安全链中最薄弱的环节。这就是为什么网络安全部门如此热衷于降低内部人员的风险。据估计，全球 67% 的公司在 2021 年经历了 21 至 40 多起内部事件，高于 2020 年的 60%，平均花费超过 1500 万美元进行补救。

然而，当员工在工作时感到受到安全警告、政策规则和程序以及媒体在业余时间的违规和威胁报道的轰炸时，可能会开始出现疲惫状态。这种安全疲劳的特点是无助感和失控感。个人可能会发现这一切是如此压倒性，以至于他们从公司政策中退缩并走自己的路。也可能有一种无可奈何的感觉：无论他们做什么，违规行为都会发生，所以他们不妨忽略所有这些压力很大的安全警报。

2018年的一项研究显示，超过一半（55%）的员工没有经常考虑网络安全，近五分之一（17%）的员工根本不关心网络安全。有证据表明，年轻工作人员更容易因过度的安全要求而感到疲惫。

02 安全疲劳的主要症状是什么

安全疲劳的明显迹象是员工：

●冒更大的风险使用网络钓鱼电子邮件，也许出于兴趣决定点击链接或打开附件。

●实行不良的密码管理，例如在多个账户中重复使用弱凭据。根据最近的一项研究，43%的员工承认共享登录信息，甚至完全避免工作以减轻登录压力。

●在没有 VPN 的情况下登录到公司网络，尽管这在某些组织中可能会受到限制。

●外出和即将登录敏感的公司账户时使用不安全的公共 Wi-Fi 热点。

●无法定期更新其设备和计算机。

●未能立即向上级或 IT 部门报告事件。安永的同一项研究显示，近五分之一（16%）的员工会尝试自己处理可疑的违规行为，而不是通知其他人。

●将工作设备用于个人用途，包括互联网下载、游戏和在线购物等危险活动。一项研究声称，一半的员工现在将他们的工作设备视为他们的个人财产。

●以其他方式规避安全：另一份报告显示，31%的18-24岁的办公室工作人员试图绕过政策。

03 如何解决安全疲劳

网络安全部门可以考虑以下事项：

●倾听最终用户的意见，更好地了解安全性如何影响工作流程并扰乱工作效率。尝试设计策略，以更好地平衡员工的需求与最小化网络风险的需求。

●限制用户需要做出的安全决策的数量。这可能意味着自动软件修补、远程安全软件安装以及笔记本电脑和设备的管理。在后台运行检测和响应服务，以便在威胁违反网络防御时捕获和遏制威胁。

●通过密码管理器、基于生物识别的双因素身份验证和单点登录 （SSO），支持增强的登录安全性，同时最大限度地减少工作量。

●限制轰炸用户的安全相关消息的数量。少即是多。

●通过使用模拟和游戏化的较短课程（10-15 分钟）来改变行为，使安全意识培训更加有趣。