Superfície de ataque humano é a totalidade de toda a segurança explorável buracos dentro de uma organização que são criados através das actividades e vulnerabilidades do pessoal. Elementos de s human superfície de ataque de uma organização incluem negligência, erros, doença, morte, ameaça interna e suscetibilidade à engenharia social.
A engenharia social é uma ameaça tão grave e generalizada à segurança empresarial que muitas vezes é considerada como uma superfície de ataque por si só. A superfície de ataque da engenharia social inclui uma grande variedade de técnicas, incluindo phishing, isca com mídia infestada de homens e simples ações como seguir um indivíduo autorizado através de uma porta para uma área segura. Para proteger uma organização da engenharia social, os funcionários devem ser treinados para reconhecer as táticas comuns usadas e instados a desconfiar de quaisquer atividades que possam ser tentativas de exploração. Testes de penetração devem ser realizados regularmente para simular ataques de engenharia social e detectar quaisquer áreas em que os funcionários permaneçam vulneráveis.
A negligência e o erro dos funcionários requerem vigilância semelhante. Os esforços para prevenir erros incluem assegurar que os funcionários sejam adequadamente treinados para as suas tarefas e que tenham os recursos disponíveis para desempenhar a um nível aceitável. O excesso de trabalho e o stress ocupacional pode levar a burnout e aumenta tanto nos erros como na negligência. Para se prevenir contra eles, o excesso de horas de trabalho deve ser evitado sempre que possível e o equilíbrio entre a vida profissional e familiar deve ser promovido e fomentado através de iniciativas no local de trabalho.
Illness and deaths of employees can leave an organization vulnerable if those individuals possess unique skills and knowledge. Para mitigar o impacto, uma organização deve ter programas para que tais indivíduos possam orientar outros funcionários.
Embora as ameaças internas sejam decididamente menos comuns que outros elementos da superfície do ataque humano, quaisquer incidentes podem causar danos significativos. A proteção contra ameaças internas inclui medidas de segurança familiares: múltiplos spyware programas de varredura, programas antivírus, firewalls, e um rigoroso data backup e arquivamento rotina. Além disso, é importante assegurar uma supervisão adequada dos funcionários e controles rigorosos sobre privilégios.