计算机科学 > 计算机与社会
[提交于 2025年8月28日
]
标题: 当技术不足以应对时:来自安全关键工业组织试点网络安全文化评估的见解
标题: When technology is not enough: Insights from a pilot cybersecurity culture assessment in a safety-critical industrial organisation
摘要: 随着网络威胁越来越多地利用人类行为,仅靠技术控制无法确保组织的网络安全(CS)。在关键安全行业,加强网络安全文化(CSC)至关重要,但现实工业环境中的实证研究却很少。本文通过在一个全球关键安全组织中进行试点混合方法的CSC评估来填补这一空白。我们考察了员工的CS知识、态度、行为以及塑造这些因素的组织因素。在两个国家的全球组织中进行了问卷调查和半结构化访谈,这两个国家因钓鱼模拟测试表现不同而被选中:国家1表现较强,国家2表现较弱。在国家1,邀请了258名员工(参与率为67%),在国家2,邀请了113名员工(参与率为30%)。分别有20人和10人参加了访谈。总体的CSC概况相似,但揭示了不同的挑战。两者都表现出较强的钓鱼意识并重视CS,但大多数人将钓鱼视为主要风险,并且对处理其他事件缺乏清晰的认识。一线经理是默认联系人,但对报告的问题跟进不明确。参与者强调将CS期望与工作相关性和工作流程相一致。出现的关键差异因素是:国家1有外部员工,他们对CS培训和政策的访问有限,突显了监控的不足。在国家2,低问卷回应率是由于“邮件中无链接”的政策。虽然该政策可能提高了钓鱼测试的表现,但也凸显了CS实践中的不一致性。研究结果表明,强大的CSC需要领导层的参与、有针对性的沟通、量身定制的措施、政策与实践的一致性以及定期评估。将这些措施融入战略中可以补充技术防御,加强关键安全环境中的可持续CS。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.