技术人员是否对安全开展业务构成威胁？

快速阅读: 据《The Register》最新报道，网络安全领域的领导者需平衡技术与人力资源管理（HRM），因多数数据泄露源于人为错误。技术人员偏好技术工具，而忽视HRM的文化建设，这可能导致安全策略失效。领导者应综合技术投资与网络安全文化建设，咨询顾问也需拓宽视野，同时参考相关框架和指南逐步实施变革，以实现全面防护。

网络安全领域的领导者正在展开一场无形的战争，不仅要对抗威胁行为者，还要在组织内部应对挑战。这是我一直深思的问题，尤其是在思考为什么组织内的某些领导者会做出他们所做的决定时。这场战争本质上是技术与人力资源管理（HRM）之间的冲突。虽然安全领导者致力于构建强大且多层次的防御体系，但高管们往往优先考虑收入，而技术人员则倾向于他们能够掌控的解决方案。他们都似乎忽视了人的因素。让我们探讨为什么领导者在无意中破坏了自己的安全策略。我们将研究技术人员、安全主管和负责平衡财务目标与网络安全投资的高管之间的内部张力。我们将深入探讨组织如何忽视HRM。然后我们将探索这些领导者可以采取的实际方法来找到至关重要的平衡，以更有效地保护他们的业务。

技术人员与风险管理人员之间的紧张关系
技术人员和HRM专业人士在网络安全决策上始终处于拉锯战中。技术人员专注于构建和维护他们理解和信任的系统，而专注于管理人力资源风险的领导者则致力于解决因员工行为而产生的漏洞。技术人员与风险管理人员之间的紧张关系
重点的不同意义重大。倡导行为改变和人力资源管理战略的安全领导者常常难以获得同事的理解和支持。特别是当执行团队专注于利润，而技术人员倾向于工具和系统的具体解决方案时，这尤其困难。

人力资源管理：真正安全的被低估的基础
作为一名财富500强公司的常务董事，我看到领导团队包括安全负责人和高级管理层多次忽视了一个问题。他们没有将HRM视为网络安全的关键组成部分，因为它不像前沿技术解决方案那样带来数百万美元的销售额。C级高管青睐那些可以向客户推销为创新的投资，而技术人员则倾向于反映他们专业知识的工具。忽视这一点可能会使领导者陷入困境：大多数数据泄露源于人为错误而非技术故障。打开网络钓鱼邮件、在多个系统中重复使用弱密码、落入社会工程学陷阱或简单地配置错误都会导致大多数安全失败。尽管如此，高管们仍然转向下一个大工具，而不是处理人类漏洞的艰难且文化变革的工作。

技术人员的偏见及其对安全工作的影响
IT和安全专业人员通常优先考虑他们熟悉的、有信心实施的内容。例如，购买先进的威胁检测或云安全工具会给人一种控制感。这种技术思维优先考虑工具而非结果。许多技术领导者专注于获取这些工具，不是因为它们是最有效的组织解决方案，而是因为它们与他们的专业知识产生共鸣。如果员工未做好准备，技术无法阻止复杂的网络钓鱼攻击。作为一名安全领导者，你是投资最新的AI驱动平台，还是投入资源确保组织对HRM计划的支持？技术总是更容易的选择，因为文化变革很难。但如果不能同时优先考虑两者，你将留下未检查的漏洞。

使命与技术：领导者是否正确应对？
这是一个基本问题，作为高管或安全领导者应该问自己的：如果你的核心使命是保护组织，你是否像部署新工具一样紧急对待HRM？以使命为导向的领导者明白，这两种策略必须并行推进，并专注于在技术投资的同时建立强大的网络安全文化。然而，如果使命没有推动决策，阻力最小的道路将占据主导地位，组织可能产生虚假的安全感。领导者必须挑战自己，批判性地思考为什么他们在面对同样关键的人类因素时总是默认选择技术。

咨询顾问在塑造领导决策中的作用
与安全领导者合作的咨询公司经常帮助引导决策远离HRM。他们往往倾向于高利润率的技术解决方案，而不是不太吸引人但更有用的人力风险管理实践。这加剧了技术偏见。安全主管必须推动咨询合作伙伴拓宽他们的网络安全视野。你的顾问是否制定了针对人力风险和文化对齐的路线图，还是他们过分侧重技术？

缩小HRM与技术之间的差距
对于忙碌的领导团队来说，弥合HRM和技术之间的鸿沟可能令人望而生畏，但这并不需要。NIST的网络安全框架和ISO 27001指南为领导者提供了整合人力和技术控制的方法。它们突出了将HRM融入现有网络安全计划的可行路径。安全和技术领导者还可以寻求HRM平台来直接应对网络安全挑战。这些平台补充了安全意识培训以及模拟网络钓鱼演练，以扩大员工参与度，衡量进展，并营造一种人人参与保持安全的文化。行业特定指南或手册可以为高管提供从长期培训战略到文化对齐计划的明确路径。安全领导者可以利用它们循序渐进地实施有意义的变革。

技术与HRM之间的无形战争是安全领导者常常忽视的问题。更容易偏向于有形、可营销或快速部署的解决方案。但真正的组织安全需要关注那些不那么显眼却往往更重要的方面：人。挑战在于找到即使面临竞争优先事项也能要求平衡的领导者。对于技术人员、高管和安全专业人士而言，结论很简单。保护一个组织不仅仅是部署最新工具；更是保护在其中工作的人员。

由OutThink供稿。

(以上内容均由Ai生成)