
縮小差距:非洲網路安全中的人為風險
非洲的網路安全環境呈現了一個矛盾的局面:雖然組織普遍相信自己已經做好準備,但仍存在重大盲點,特別是在與人員相關的部分 – 也就是他們的員工。《KnowBe4非洲人力風險管理報告2025》從來自30個非洲國家的124位高層網路安全決策者的見解中,揭示了這個大陸在網路防護上所面臨的幾個問題。
自信差距
報告揭示了領導者對員工網路安全準備的看法與實際情況之間存在自信差距。儘管許多決策者對員工的安全意識評價很高,但他們對於員工能否可靠地舉報事件的信心並不一致,只有10%的人表示完全有信心。這表明,儘管領導者認為自己的團隊是有意識的,但這種意識是否能轉化為實際的警覺性和行動存在差異,顯示出對員工準備狀況的高估。
無法管理風險的激增
自帶設備(BYOD)的趨勢猖獗,多達80%的員工使用個人設備工作。此外,有46%的組織承認自己的AI政策尚在開發中,使他們容易受到未經監管的AI工具使用風險的影響,這種現象通常被稱為陰影AI。北非的BYOD暴露率最高,但培訓頻率和事件報告信心卻較低。
培訓未見實質影響
許多組織每年或每兩年進行一次安全意識培訓(SAT)。然而,除了培訓頻率不高之外,報告還指出,這些計畫往往與特定角色無關,缺乏行為追蹤和問責機制。儘管68%的人聲稱根據角色量身定制SAT,但缺乏角色相關的培訓卻是第二大被引用的挑戰,這表明了領導層所認為的情況與實際實施之間的差距。特別是在製造業和醫療保健領域,往往採用一刀切的做法。
成長挑戰
奇怪的是,員工超過501人的大型組織報告的培訓頻率較低,報告安全問題的信心較低,且更難以衡量成果。這表明,隨著組織擴大,他們可能不經意地失去了以人為本的重點,導致人員風險加劇。
區域差異
網路安全的韌性在非洲各地存在顯著差異。東非的受訪者在主動AI治理方面領先,而南非的受訪者則進行最頻繁的培訓。北非擁有最高的BYOD暴露率,而中非和西非則報告了最多的人員相關事件。這種多樣的環境突顯了制定個性化和相關的網路策略的必要性,而非使用通用的方法。
彌合認知與現實之間的鴻溝
與《2024年非洲網路安全與意識報告》進行的比較進一步強調了領導者的觀念與員工實際經驗之間的差距。儘管2025年有一半的領導者將員工舉報信心評為四分之五,但2024年只有43%的員工對識別網路威脅感到完全有信心。同樣,儘管領導者聲稱針對性培訓,但只有三分之一的員工認為自己接受到了足夠的培訓。
增強韌性建議
- 根據角色和風險暴露量身定制培訓:超越通用培訓,發展個性化、相關且可調整的SAT,以符合員工的日常職責。
- 衡量有意義的指標:實施明確的指標來追蹤培訓效果,而不僅僅是參與度。包括文化調查、能力評估和釣魚模擬趨勢。
- 正式化事件報告結構:員工需要清晰且易於遵循的報告路徑、即時反饋和定期模擬,以建立信任並確保及時行動。
- 縮小AI治理差距:制定和執行政策以規範AI使用,將其從潛在威脅轉變為安全資產。
- 根據地區和行業情境化人員風險策略:制定安全文化策略,適應非洲各地特有的法規、文化和營運差異。
人員層面並不是需要修正的弱點,而是需要加強的關鍵防線。意識只是開始;非洲的網路安全未來取決於隨之而來的行動。透過採納這些建議,非洲的組織可以超越表面意識,建立真正具韌性且以人為本的防禦,以對抗不斷演變的網路威脅。
非洲的網路安全環境呈現了一個矛盾的局面:雖然組織普遍相信自己已經做好準備,但仍存在重大盲點,特別是在與人員相關的部分 – 也就是他們的員工。《KnowBe4非洲人力風險管理報告2025》從來自30個非洲國家的124位高層網路安全決策者的見解中,揭示了這個大陸在網路防護上所面臨的幾個問題。
自信差距
報告揭示了領導者對員工網路安全準備的看法與實際情況之間存在自信差距。儘管許多決策者對員工的安全意識評價很高,但他們對於員工能否可靠地舉報事件的信心並不一致,只有10%的人表示完全有信心。這表明,儘管領導者認為自己的團隊是有意識的,但這種意識是否能轉化為實際的警覺性和行動存在差異,顯示出對員工準備狀況的高估。
無法管理風險的激增
自帶設備(BYOD)的趨勢猖獗,多達80%的員工使用個人設備工作。此外,有46%的組織承認自己的AI政策尚在開發中,使他們容易受到未經監管的AI工具使用風險的影響,這種現象通常被稱為陰影AI。北非的BYOD暴露率最高,但培訓頻率和事件報告信心卻較低。
培訓未見實質影響
許多組織每年或每兩年進行一次安全意識培訓(SAT)。然而,除了培訓頻率不高之外,報告還指出,這些計畫往往與特定角色無關,缺乏行為追蹤和問責機制。儘管68%的人聲稱根據角色量身定制SAT,但缺乏角色相關的培訓卻是第二大被引用的挑戰,這表明了領導層所認為的情況與實際實施之間的差距。特別是在製造業和醫療保健領域,往往採用一刀切的做法。
成長挑戰
奇怪的是,員工超過501人的大型組織報告的培訓頻率較低,報告安全問題的信心較低,且更難以衡量成果。這表明,隨著組織擴大,他們可能不經意地失去了以人為本的重點,導致人員風險加劇。
區域差異
網路安全的韌性在非洲各地存在顯著差異。東非的受訪者在主動AI治理方面領先,而南非的受訪者則進行最頻繁的培訓。北非擁有最高的BYOD暴露率,而中非和西非則報告了最多的人員相關事件。這種多樣的環境突顯了制定個性化和相關的網路策略的必要性,而非使用通用的方法。
彌合認知與現實之間的鴻溝
與《2024年非洲網路安全與意識報告》進行的比較進一步強調了領導者的觀念與員工實際經驗之間的差距。儘管2025年有一半的領導者將員工舉報信心評為四分之五,但2024年只有43%的員工對識別網路威脅感到完全有信心。同樣,儘管領導者聲稱針對性培訓,但只有三分之一的員工認為自己接受到了足夠的培訓。
增強韌性建議
- 根據角色和風險暴露量身定制培訓:超越通用培訓,發展個性化、相關且可調整的SAT,以符合員工的日常職責。
- 衡量有意義的指標:實施明確的指標來追蹤培訓效果,而不僅僅是參與度。包括文化調查、能力評估和釣魚模擬趨勢。
- 正式化事件報告結構:員工需要清晰且易於遵循的報告路徑、即時反饋和定期模擬,以建立信任並確保及時行動。
- 縮小AI治理差距:制定和執行政策以規範AI使用,將其從潛在威脅轉變為安全資產。
- 根據地區和行業情境化人員風險策略:制定安全文化策略,適應非洲各地特有的法規、文化和營運差異。
人員層面並不是需要修正的弱點,而是需要加強的關鍵防線。意識只是開始;非洲的網路安全未來取決於隨之而來的行動。透過採納這些建議,非洲的組織可以超越表面意識,建立真正具韌性且以人為本的防禦,以對抗不斷演變的網路威脅。


