剖析安全培訓項目走向失敗的6大關鍵原因

事實上，網路安全事故是一個漸變的過程，是不安全因素在量的積累達到一定程度後，出現的飛躍性質變的表現形式，採取切實有效措施防止量的積累，是不可缺少的重要手段。俗話說：「凡事預則立，不預則廢」，維護網路安全環境需要多方面的付出和努力，而這其中，「以人為本」，提高人的安全意識以增強職工崗位安全自覺性是關鍵。

安全意識和素質的提高，安全培訓教育是最有效的途徑。通過「鮮活」的安全培訓教育，可以切實提高員工安全意識和素質，不斷強化員工安全事故的防範意識，真正將「安全第一，預防為主」落實到位，有效控制和減少安全事故，確保企業網路安全。

如今，已經有越來越多的企業開始對員工或用戶進行安全意識培訓，從而降低終端僱員的錯誤率。加速這種趨勢的原因在於，越來越多的企業已經意識到，僱員的錯誤可能導致數據泄露，最終面臨高昂的經濟代價。

據安全專家和分析師稱，安全意識培訓將會越來越普遍，因為失敗的審計、數據漏洞以及其他會知識產權和敏感數據造成威脅的因素，令企業不得不加強員工的安全意識。畢竟，我們不可能依靠技術解決所有安全問題，主動進行安全教育，可以使員工意識到自己在保護公司安全的過程中扮演著極其重要的角色。

數據有話說

就網路安全意識培訓項目而言，好消息是：據Wombat Security報告稱，他們調查的95％的公司現在都在培訓終端用戶如何識別和避免網路釣魚攻擊，而2014年，這一數據為86％。

更為利好的消息是：培訓不僅局限於表面，也產生了非常顯著的效果。根據Wombat最新發布的《2018年網路釣魚狀況》報告稱，大約54％的安全專業人員表示，他們已經通過培訓活動實現了網路釣魚易感性的指數級下降趨勢。

Wombat Security品牌傳播經理Gretel Egan表示，

「過去一年，公司員工對於安全培訓的興趣明顯增加。其實幾年前，公司許多人對安全意識培訓的想法嗤之以鼻，但是現在，他們已經意識到這種培訓活動可以讓他們自身及所屬公司都收益匪淺。」

然而，想要最大化地實現安全培訓的作用，並不是一件簡單的事，不是隨便找個人隨便講幾堂課就能完成的，還需要做什麼工作。這也就意味著，我們要先去了解企業在安全意識培訓過程中存在的錯誤，以及如何糾正它。

企業安全意識培訓項目存在的6大誤區

1. 安全專業人員習慣向高層管理者傳遞太多技術信息

Wombat Security的Egan表示，在向高層管理者彙報項目進程或成果時，安全專業人員經常會陷入這樣一種誤區——即過分關注計劃細節，而忽略了全局。例如，他們會告訴CEO，仍然能夠看到員工對網路釣魚誘餌的點擊率為15%。但是他們忘了，首先，無論他們怎麼努力，都永遠無法將這一數字歸零；此次，也是更重要的一點，這些數字對CEO而言並不具備直觀意義。你最好告訴他們，通過安全意識項目，可以幫助企業節省停機時間並降低安全補救成本，這才是高層管理者們真正想要了解的底線影響。

2. 公司沒有花費足夠的時間培訓高管了解資產風險

根據CrowdStrike服務副總裁Tom Etheridge的說法，公司傾向於將安全意識培訓作為核對錶項目——列出培訓選項，完成即勾掉，勾完全部選項即算項目完成。但他們忽略了最關鍵的一點，企業高管們——從執行委員會、高級管理者到財務團隊和採購部門，都需要對所屬公司面臨的網路威脅狀況有個更深入、全面的了解。因為這些人才是網路犯罪分子青睞的高價值目標，他們都有信託責任，而且他們大多數人也可以訪問個人計算機或公司筆記本電腦上的特權信息。安全專業人員需要與他們協同合作，以便他們可以學習如何使用雙因素身份驗證和加密等工具來保護企業數據安全，以及了解在出差時保護自身物理資產安全所需採取的適當步驟等。

3. 只專註於獲取特定人員的支持，而忽略了企業中其他管理層同行

安全專業人員通常只將目光鎖定在為他們的安全意識項目提供資金支持的特定人員身上，結果，他們經常會忽略與企業中其他管理層同行的溝通交流。事實上，通過從其他管理者處入手，安全專業人員一樣能夠說服他們並最終獲取對安全意識培訓項目的支持。至於普通員工，通常只要他們的主管希望他們參與進來就足夠了。

4. 公司沒有招募自然領袖（Natural Leaders）

Wombat Security的Egan表示，許多公司都沒有考慮為其安全意識項目創建一個特別工作組。安全專業人員應該尋找「自然領袖」——他們可以是也可以不是技術人員，但一定要是在公司會議上具有絕對發言權的人。讓這類人擔任安全意識培訓項目的倡導者，由他們去說服其他人，將對安全意識項目的持續開展起到至關重要的作用。

5. 公司沒有言明安全意識項目對個人的好處

當然，安全意識項目可以使公司更安全，但是對於安全專業人員和人力資源部門來說，似乎並沒有其他更深刻的好處。如果你這樣認為就打錯特錯了。試想一下，你每天都要與不了解計算機的年邁父母打交道，現在，通過企業安全意識培訓項目，你就有能力向父母傳授一些學到的基礎知識和應用技巧了。事實上，安全意識已經不僅僅是一個商業問題，它還是一個現代生活技能問題。此外，對於人力資源部門而言，在招聘新員工時需要他們組織培訓項目，這種經歷和經驗是他們在整個職業生涯中都可以隨取隨用的技術訣竅。

6. 公司沒有合適的計劃來對培訓效果進行徹底測試

在培訓項目完成後，許多公司只會發送一些網路釣魚測試，查看員工的反應。但是在進行任何測試之前，重要的是要制定適當的計劃，確定具體的攻擊類型，考察內容，如何對員工進行分組以及衡量項目成敗的具體指標等等。

CrowdStrike的Etheridge表示，他的團隊經常配合許多其他公司進行測試，他們會選擇在特定時間嘗試網路釣魚，以了解客戶的表現。他說，廣泛的網路釣魚可能有助於合規目的或評估員工對該攻擊手段的一般意識，但它並不總是能夠測試出組織的真正防禦能力。他建議公司可以進行更為積極主動的紅/藍對抗測試，並基於最終結果向高管們解釋他們如何更有效地應對了面臨的安全問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！