網(wǎng)絡安全文化對系統(tǒng)性建立組織的網(wǎng)絡安全能力發(fā)揮著重要作用，但這種安全文化的建立不可能一蹴而就。改善安全文化首先必須消除網(wǎng)絡安全是一個純粹的技術課題的神話，并以一種人人都能接觸以并相關的語言和規(guī)范為人們提供明確的指導。長遠來看，組織幫助員工了解網(wǎng)絡攻擊心理方面的影響因素，對網(wǎng)絡安全事件的應對能力會更強。掌握常見網(wǎng)絡攻擊（如網(wǎng)絡釣魚）背后的心理學，是企業(yè)可以采取的切實可行措施之一，這有助于改善其網(wǎng)絡安全文化。

　　實踐中的網(wǎng)絡安全文化

　　眾所周知，一個透明、開放且積極的網(wǎng)絡安全文化將通過賦予人們做出正確決定的權力，使企業(yè)更有彈性地應對不斷演變的網(wǎng)絡威脅。然而，網(wǎng)絡安全文化的改善并非一蹴而就。

　　在實踐中，這涉及與企業(yè)與員工建立雙向?qū)υ挕＠?，企業(yè)需要打開溝通渠道，以便人們能夠就實施政策或流程可能遇到的困難提供反饋，而不是簡單在推送安全信息。這也意味著積極傾聽他們的要求，并在適當?shù)臅r候采取行動。

　　改進網(wǎng)絡安全文化還必須包括確保采用以人為中心的方法處理網(wǎng)絡安全團隊所做的一切。這不僅僅是建立人們的安全意識，還意味著網(wǎng)絡安全團隊中的每個人都必須在組織內(nèi)充當受信任的顧問，而不是被視為只是監(jiān)督遵守網(wǎng)絡政策的局外人。

　　建立網(wǎng)絡安全文化還包括鼓勵在各個層面擁有更多的網(wǎng)絡安全所有權，特別是如果公司是一個中型或大型組織，在全球各地設有國際辦事處。其中一種方法是建立一個全球網(wǎng)絡安全代理網(wǎng)絡。這些人可以在當?shù)剞k事處擔任網(wǎng)絡安全最佳實踐的倡導者和/或大使，并作為聯(lián)絡人幫助其他人解決相關問題。他們還可以作為網(wǎng)絡安全團隊想要試驗的任何新計劃的測試組，并提供寶貴的洞察力，以了解什么可以或不能在更廣泛的業(yè)務中應用。

　　改善網(wǎng)絡安全文化還必須消除網(wǎng)絡安全是一個純粹的技術主題的神話，并以一種人人都能接觸感知并以相關的語言和規(guī)范為人們提供明確的指導。

　　人類網(wǎng)絡指數(shù)

　　Pinsent Masons開發(fā)的人類網(wǎng)絡指數(shù)（Human Cyber Index），是一項衡量組織網(wǎng)絡安全文化及其與員工生產(chǎn)力關系的指標。這允許您努力創(chuàng)建響應式網(wǎng)絡安全文化，該安全文化以員工認為易于使用的策略和流程為基礎。幫助企業(yè)評估員工的行為、參與度、生產(chǎn)力以及他們與安全團隊的關系——所有這些都可能影響到企業(yè)的網(wǎng)絡安全文化。

　　通過強調(diào)網(wǎng)絡犯罪的心理層面因素，人們會發(fā)現(xiàn)網(wǎng)絡安全這個話題更加相關和可獲得，這反過來幫助他們理解，在這種情況下，他們比自己所認為的有更多的控制權。

　　當在一個組織內(nèi)首次使用人類網(wǎng)絡指數(shù)時，通常會發(fā)現(xiàn)，他們面臨的挑戰(zhàn)是改變?nèi)藗兊目捶ǎ淳W(wǎng)絡安全超出了他們的能力或職權范圍，是一門高技術或熟練的學科。有時強制性培訓的初次完成率很低，網(wǎng)絡安全團隊在內(nèi)部缺乏可信任顧問所需的能見度和聲譽。在這種環(huán)境下，網(wǎng)絡安全被視為無趣的一項合規(guī)舉措。

　　事實上，組織中的每個人對待信息安全的方式并不相同。例如，年齡很重要。在許多情況下，最年輕的員工——那些來自“Z一代”的人——對技術的使用很熟悉，但這并不總是意味著他們對網(wǎng)絡安全很熟悉。相比之下，盡管老一輩人通常對隱私和安全有更強的本能，但他們并不總是能自如地使用公司提供的IT產(chǎn)品。

　　在大多數(shù)情況下，人們確實關心網(wǎng)絡安全，并認真對待這個問題，但他們有時會在復雜的政策和流程中掙扎。

　　心理學和網(wǎng)絡安全

　　企業(yè)可以通過讓員工了解主導大多數(shù)網(wǎng)絡安全漏洞的心理因素，來解決網(wǎng)絡安全是一門純技術學科的神話。對這一復雜課題的研究一直在不斷地進行。

　　伯恩茅斯大學（Bournemouth University）為英國心理學會（the British Psychological Society）撰寫的一篇關于網(wǎng)絡安全背景下行為變化的論文，強調(diào)了網(wǎng)絡攻擊受害者往往是如何在心理上受到操縱的。在他們的建議中，他們呼吁將“行為改變原則”應用于“公共和工作場所”，以“增強個人更好地管理網(wǎng)絡安全威脅的能力”。

　　網(wǎng)絡犯罪分子經(jīng)常通過網(wǎng)絡釣魚攻擊來利用人類訪問系統(tǒng)和數(shù)據(jù)的傾向。這些攻擊是一種社會工程，目的是利用員工已有的知識或典型行為，誘騙他們透露私人或敏感信息、點擊鏈接或打開可疑附件。

　　作為以人為中心的網(wǎng)絡安全方法的一部分，模擬釣魚攻擊，并在訓練后解釋模擬攻擊背后的心理學，向人們展示網(wǎng)絡罪犯將如何試圖操縱他們的思想和行動。通過這樣做，人們可以更好地了解網(wǎng)絡釣魚攻擊中可能包含的行為觸發(fā)因素。

　　引入心理元素，是一種將網(wǎng)絡培訓和內(nèi)容聚焦于個人安全、而非組織安全的方式——潛在行為是相同的，只是呈現(xiàn)方式不同。研究發(fā)現(xiàn)，人們覺得這更有相關性，他們會更專注于這個話題，想知道更多。與此相結合，提倡網(wǎng)絡培訓的競爭性元素，通過排行榜來反映和獎勵那些發(fā)現(xiàn)可疑郵件并報告它們的人。

　　通過強調(diào)網(wǎng)絡犯罪的心理學因素，人們會認為網(wǎng)絡安全這個話題更加與自己相關和可獲得，這反過來幫助他們理解，在這種情況下，比他們認為的有更多的控制權。這是構建和維持網(wǎng)絡安全文化的核心部分，也是設計反映人類傾向和嵌入安全行為的策略和實踐的核心部分。