人们通常被认为是信息安全的“最薄弱环节”。然而，从历史上看，组织总是依赖于技术安全控制的有效性，而不是试图理解为什么人们容易出错和被操纵。显然需要一种新方法；它可以帮助组织了解和管理心理脆弱性，并采用专门为人类行为设计的技术和控制。

这种新方法是以人为本的安全。

以人为本的安全始于理解人及其与技术、控制和数据的交互。通过了解人们如何以及何时在整个工作日“接触”数据，组织可以发现心理错误可能导致安全事件的情况。

多年来，攻击者一直在利用心理操纵迫使人类犯错。攻击技术在数字时代得到了发展，其复杂性、速度和规模都在不断提高。了解人为错误的原因将有助于组织改变其信息安全方法。

识别人类的弱点。

以人为中心的安全意识到，员工可以在任何一天通过一系列接触点与技术、控制和数据进行交互。这些接触点可以是数字的、物理的或口头的。在这种互动过程中，人类需要做出决定。然而，人类存在一系列漏洞，可能导致错误的决策，从而给组织带来负面影响，比如向外界发送包含敏感数据的电子邮件，让尾门进入建筑物，或者在火车上讨论公司的收购。这些错误也可能被机会主义攻击者用于恶意目的。

在某些情况下，组织可以采取预防性控制措施来减少错误，例如防止员工从外部发送电子邮件、对笔记本电脑进行强加密或物理阻止。然而，错误仍然可以解决，特别是如果个人决定颠覆或忽略这些类型的控制，以便更有效地完成工作任务，或者在时间有限的情况下。当压力或压力升高时，也可能显示错误。

通过识别人类的基本弱点，了解心理学的工作原理和风险行为的原因，组织可以开始理解为什么员工可能会犯错，并开始更有效地管理风险。

利用人们的弱点。

心理弱点为攻击者提供了影响和利用人的优势的机会。人类进入数字时代以来，攻击者使用的心理操控手段并没有改变，但攻击技术更加先进、性价比更高、可扩展性更强，使得攻击者可以有效地针对个人或进行大规模攻击。

攻击者利用越来越多来自网络和社交媒体来源的免费信息，构建可信的人物和背景故事，从而与目标建立信任和和谐的关系。仔细利用这些信息来增加对目标的压力，然后触发启发式的决策反应。攻击技术被用来迫使目标使用特定的认知偏差，从而导致可预测的错误。攻击者然后可以利用这些错误。

有几种心理学方法可以用来操纵人类行为。攻击者可以用来影响认知偏见的一种方法是社会力量。

有许多攻击技术使用社交权力方法来利用人们的弱点。攻击技术可以有高度针对性或大规模实施，但它们通常包含旨在引起特定认知偏差的触发器，从而导致可预测的错误。虽然没有针对性，“喷雾和祈祷”攻击依赖于少量点击恶意链接的接收者，更复杂的社会工程攻击也越来越普遍和成功。攻击者已经意识到瞄准人类比试图攻击技术基础设施要容易得多。

在这两种情况下，攻击技术使用社会力量以不同的方式触发认知偏差。在某些情况下，一封电子邮件可能足以引发一种或多种认知偏见，从而产生理想的结果。在其他情况下，攻击可能会使用多种技术在一段时间内逐渐操纵目标。这是一致的，攻击是精心构建和完善的。通过了解攻击者如何利用社交技能等心理方法触发认知偏差和强迫错误，组织可以解构和分析真实事件，找出其根本原因，然后投资最有效的缓解措施。

为了使信息安全计划更加以人为本，组织必须意识到认知偏差及其对决策的影响。他们应该承认，正常的工作条件可能会造成认知偏差，攻击者会为了自己的利益使用精心设计的技术来操纵这些技术。然后，组织可以开始重新制定信息安全计划，以改进对人类漏洞的管理，并保护其员工免受一系列胁迫和操纵攻击。

管理人为漏洞。

人为漏洞可能导致错误，严重影响一个组织的声誉，甚至危及生命。组织可以通过采用更以人为本的方法来提高其安全意识，设计安全控制措施和技术来应对人类行为，并改善工作环境以减少压力或其影响，从而加强信息安全计划并降低人类漏洞的风险。劳动力的压力。

回顾当前的安全文化和对信息安全的看法，应该使组织能够有效地指出哪些认知偏见正在影响他们。增强人们对漏洞和攻击者用来利用漏洞的技术的认识，然后定制更多以人为中心的安全意识培训来解决不同用户群体的问题，应该是增强任何信息安全计划的基本要素。

拥有成功的以人为本的安全计划的组织通常在信息安全和人力资源职能之间有很大的重叠。促进高级和初级员工之间的强大指导网络，以及改善工作日结构和工作环境，应有助于减少不必要的压力，这将导致影响决策的认知偏差。

在指导者和受训者之间建立有意义的关系，从而在知识和理解之间建立平衡。创造一个工作环境，平衡工作和生活，减少压力、疲劳、倦怠和糟糕的时间管理，所有这些都会大大增加出错的可能性。最后，考虑如何改善或增强工作空间和环境，以减轻劳动压力或压力。考虑什么对员工最有利。

工作环境，因为可能有多种选择，例如在家工作;远程工作;或现代化办公空间，工厂或室外场所。

从最薄弱的环节到最强的资产，

潜在的心理脆弱性意味着人类容易犯错误，也容易受到操纵性和强制性攻击。现在，错误和处理占据了大多数安全事件，因此风险是巨大的。通过帮助员工了解这些漏洞如何导致不良的决策和错误，组织可以管理意外内部人员的风险。为此，需要一种新的信息安全方法。

以人为中心的安全方法可以帮助组织显着减少导致错误的认知偏见的影响。通过发现最常见的认知偏差，行为触发因素和攻击技术，可以将量身定制的心理训练引入组织的意识运动中。可以对技术，控制和数据进行校准以解决人类行为，同时改善工作环境可以减轻压力和压力。

一旦从心理学的角度理解了信息安全，组织将为管理和减轻人为漏洞带来的风险做好准备。以人为本的安全性将帮助组织将最薄弱的环节转变为最强大的资产。