作者 | Lance Spitzner

为组织的安全意识计划创建一个强大的度量框架，可以帮助制造企业衡量整体影响，并在符合企业战略优先事项的情况下，向企业领导层展示其价值。

安全意识计划是一种结构化的方法，用于管理组织中的人员风险。您可以使用安全意识成熟度模型，来衡量安全意识计划的成熟度。本文假设已经有一个成熟的计划（至少是成熟模型的第三阶段），并且与安全团队积极合作，或者是安全团队的一部分。思考下面三个关键问题有助于更好地制定安全意识计划：

1.人因风险：最大的人因风险是什么？无法管理所有人因风险，这意味着企业必须识别并优先考虑最主要的人因风险。这应该是一个数据驱动的过程，与安全部门内的关键团队合作，如事件响应、安全运营、网络威胁情报或风险管理团队。

2.行为：能最有效管理这些风险的关键行为是什么？而且，我们需要对行为进行优先排序，我们关注的行为越少，人们改变这些行为的可能性就越大，并且组织成本也越低。

3.改变：我们如何激励和帮助人们改变这些行为？

随着时间的推移，技术、威胁和业务需求都会发生变化。因此，至少每年都应与安全团队协调，对企业的人因风险进行审查和更新。

01

对度量的分析

02

网络钓鱼

在全球范围内，网络钓鱼一直是数据泄露的头号原因（根据2021年Verizon DBIR报告）。无论我们在这个问题上施加了多少技术控制，网络攻击者的应对都很简单：适应并绕过这些措施。因此，我们需要教会人们如何识别和报告这些攻击。那么，我们应该检测什么？人员经培训后，应检测他们是否容易受到网络钓鱼的攻击。在最大的人因风险中，这是最容易衡量的，为什么它是如此常见的衡量标准？

1.点击率：测量企业的整体点击率。在进行第一次网络钓鱼培训后，这个数字会迅速下降，对于比较基本的网络钓鱼模板，点击率可能会从20%下降到不到2%。一旦点击率降低到2%到3%左右，可能需要开始使用更隐蔽/更有针对性的钓鱼模板。大多数网络钓鱼来源支持分层方法，使您能够使用不同难度类别的网络钓鱼。记住，目标不是0%的点击率，因为一旦你使用基本的、初级的网络钓鱼模板，达到2%或更低的点击率，那第一次点击的人员主要是新员工，对他们而言，这其实是一种培训。

2、重复点击率：对于许多企业来说，这是最有价值的钓鱼指标，因为它衡量的是重复点击者——那些没有改变行为的人，对组织来说风险更大。

3.报告率：如果你正在培训，并要求员工在发现可疑的网络钓鱼电子邮件时要上报，这有助于建立监测网络。对于这一点，关键不是报告的人数，而是安全团队获得第一份报告的速度。人们越早报告可疑事件，安全团队就能越快的应对和管理潜在事件。报告可疑事件的人员，代表着最警觉的员工，因为他们不仅能够识别攻击，而且能够让安全团队更主动地做出响应并保护整个组织。

03

密码管理

密码仍然是近年来漏洞的主要因素之一。网络攻击者已经改变策略、技术和程序（TTP），从通过不断侵入和感染系统来获取访问权或横向移动，转向使用合法帐户等更容易绕过和穿越被攻击者组织的方式，同时还可以避免被发现。因此，强密码和这些密码的安全使用都已成为关键。

1.强密码：确保人们适应并使用强密码。现在大力鼓励使用密码短语。这可以通过对密码数据库进行暴力破解来测试。

2.使用密码管理器：在很多方面，密码变得更困难、混乱，甚至因为各种规则和政策而让人感到害怕。因此，企业开始采用密码管理器，以简化员工的密码。如果企业部署了密码管理器，则考察密码管理器的采用率和使用率。员工中使用密码管理器的比例是多少？企业应该能够从部门部署/管理密码管理器的数据中提取这些数据。

3.采用多因素认证（MFA）：MFA对于关键或敏感账户尤其重要。同样，无论谁负责部署MFA解决方案、负责认证系统的日志记录、领导身份和访问管理，或部分运营或安全，都应该可以访问这些信息。

4.密码重复使用/密码共享：人们是否在不同的工作账户中重复使用相同的密码（或者更糟的是重复使用工作和个人账户）？还是人们与同事共享密码？虽然听起来这种行为很难衡量，但您可以通过安全行为/文化调查，有效地衡量这两种行为。关键是使用科学的方法来编写和测量调查结果。例如，衡量密码共享的一种方法是询问员工：在1到5的范围内，你与同事共享密码的可能性有多大。

04

掌握更新状态

我们希望确保人们正在使用的计算机和设备，以及安装在其上的应用程序和APP，版本都是最新的。对于一些组织来说，这不是一个问题，因为人们没有管理权限，对发布工作的设备也没有控制权，他们的设备由IT人员主动打补丁。然而，对于另外许多组织来说，这是一个问题，因为现在有很多人在家远程工作，并且经常使用个人设备或家庭网络进行工作访问。有几种方法可以衡量这一点。

■ 对于企业发布的任何设备，运营、IT和漏洞管理团队，都应该能够远程跟踪这些设备的更新状态。在某些情况下，移动设备管理等解决方案也可以安装在个人设备上，用于跟踪更新状态。

■ 学习管理系统或网络钓鱼平台，可以自动跟踪连接到它们的任何设备、操作系统和浏览器版本。

■ 评估和调查员工，以确定他们是否理解更新的重要性，并积极更新个人设备，包括启用自动更新。

05

需要考虑的战略指标

一旦开始收集人们行为的指标，您就可以利用这些数据，更好地理解和管理整体的人因风险。三个主要用途包括：

■ 确定哪些区域、部门或业务部门的安全行为最少，并且对组织构成最大的风险。

■ 识别哪些区域、部门或业务部门最成功地改变了行为，原因是什么。将学到的经验教训应用到安全性较差的部门或区域。

■ 当事件确实发生时，了解该人员是否接受过培训。他们所在的部门是最安全还是最不安全的部门或业务单元之一吗？

你还可以将行为与领导真正关心的事情结合起来，来展示项目的战略价值。

1.事件数量：随着人们行为的改变，事件的总数应该下降，例如，由于人们成为网络钓鱼攻击的受害者，或由于密码问题造成帐户被盗，而导致的受感染设备的数量。

2.攻击者驻留时间：随着监测网络的组建，在您的组织中检测成功的网络攻击者所需的时间应该会减少。攻击者在您的网络上停留的时间越短，他们造成的伤害就越小。

3.事件成本：通过减少事件数量和成功攻击者的停留时间，可以降低总体成本。

4.政策和审计违规：随着行为的改变，应该看到政策和审计违规的数量减少，或严重程度降低。

这份清单既不详尽也不完美，但它是一个起点。你可以测量大量其它指标，以及这些指标的数据来源。关键不是衡量一切；企业最好衡量对他们最有用的指标。要做到这一点，企业首先需要知道最大的人因风险是什么，以及管理这些风险的行为有哪些。