安全噩梦场景：掠夺人类的弱点，而不是计算机的弱点（2之1）

漏洞所在–星期五下午3:40，紧急电子邮件打中了后台员工的收件箱。随着员工争先恐后地准备收市并开始为期三天的周末，主要客户的投资组合经理似乎需要他将125,000美元汇入大开曼岛的一家银行。

他的同事们忙于其他事务，并且由于他渴望响应这个重要客户的请求，因此他按照电子邮件中的电汇指示完成了转移，仅需几分钟即可完成。

不好的举动。

不幸的是，在匆忙完成交易请求时，该员工忽略了在电子邮件地址的域名中看到精心制作和伪装的错字。该消息不是来自投资组合经理。这是来自东欧的一名黑客巧妙地掩饰了自己的身份。几分钟后，发现盗窃案后，员工打电话给银行取回电汇，但钱已经走了两步之遥，再也看不到了。

现实是：好莱坞人们对地下室，咖啡因过多的书呆子的刻板印象正在逐渐消失，他们开始研究进入企业网络的新方法。如今，噩梦场景往往涉及社会工程和复杂的操作，涉及在办公园区中设立的数十名或数百名“员工”，他们以人类的弱点而非计算机的弱点为食。这是因为，即使外围安全性和警惕性监控的复杂性增加了，可悲的是，最大的漏洞仍然是使用IT系统进行交易和访问敏感数据的人员。

这家虚拟的投资公司不需要更多的防火墙，更多的密码或更多的加密。它所需要的是一种内部安全文化–在组织范围内对定义和坚持认真，周到的政策的持续承诺，这些政策通过评估，认识和教育来减少或消除“人的脆弱性”。

为了避免像上述情况一样成为网络钓鱼的受害者，重要的是：

什么是面向安全的文化？有时，世界上所有的防火墙都无法阻止最具破坏性的攻击。在许多情况下，员工是在“向罪犯敞开大门”，或者是在无意中“把钥匙遗忘了”。在其他时候，心怀不满的员工则更有恶意。

员工无意中遇到的威胁包括：密码薄弱或共享，设备不安全，硬拷贝文档处理不当，访问者访问网络以及感到慌乱。一些故意或恶意的员工威胁包括心怀不满的员工以及那些寻求金钱利益的员工。

那么，我们如何加强这些以人为本的安全漏洞？我们必须营造一种以安全为中心的文化。而且，最重要的是，这需要从公司的最高层开始（具有讽刺意味的是，由于他们所访问的信息量大，敏感度高以及他们的快节奏生活所造成的干扰，这些人有时可能是最大的来源。信息安全漏洞）。他们必须视而不见并全力支持您为提高安全性所做的努力。

现在，您已经了解了安全文化的重要性以及拥有安全文化的含义，请继续关注该主题的第二部分（明天即将发布），其中我们将讨论并分解创建内部安全文化的四个步骤。