无意识 不安全

员工安全意识决定了企业安全最终能够达到的高度。没有员工安全意识的配合，一切安全技术措施的有效性都将大打折扣。

据 Proofpoint 最新发布的《2018年度人为因素报告》指出：组织和个人每天都会遇到新的网络威胁，从大规模恶意垃圾邮件、勒索软件、网络钓鱼、社交媒体欺诈、Web应用攻击等，然而绝大多数威胁有一个共同特点：他们利用 “人为因素” 而不是软件和硬件漏洞，依赖于在人际互动中利用人们的好奇心和容易相信他人的本性，诱使其点击恶意链接、下载危险文件、无意中安装恶意软件、转移资金和泄露敏感信息等，而且威胁源起方 (Threat Actors 一般可分为外部、内部、合作伙伴) 通过精心策划的诱惑与骗局在不断地改良他们的社会工程学攻击方式。针对电子邮件欺诈的最新社会工程技术面向企业80％的员工，只要有一名员工中招，就可能使企业陷入安全风险之中。如果员工因害怕遭受惩罚而隐瞒涉及到自己的安全事件，则可能给企业带来更为严重的无法挽回的损失 (企业网络安全文化建设不容忽视）。

 

安全意识是根本！

在令人忧心与震惊的统计数字背后，我们仍应看到希望。人是网络安全问题的核心，而这是一个可以解决的问题。据普华永道一份报告显示：员工接受过适当的安全培训/教育，网络安全事故成本可降低76％。但并不是任何安全意识计划都能起到应有的作用，如何正确地开展意识教育是很有挑战的工作。据 Ponemon Institute 一份报告显示：在接受调查的公司中，只有50％同意他们目前的员工安全培训实际上减少了不合规行为，也许是因为很多公司 (43％) 将安全意识教育作为适用于所有员工的一种 “通用性” 培训。没有充分考虑各层级、各部门、各岗位差异的“一刀切式” 的安全意识教育计划很难吸引员工参与进来，进而改变员工的行为。

ARCS学习模型

动机受注意力 (Attention)、相关性 (Relevance)、信心 (Confidence) 和满意度(Satisfaction) 四个因素的影响，强调了对于成人学习者而言，学习内容具有“相关性” 的重要性。该模型表明：当员工在培训中可以看到学习内容与他们的工作岗位角色和个人工作目标之间的联系，就容易接受培训中的新信息。简单地说：当学习内容相关/有用时，才最具影响力；否则，就是在浪费时间和金钱。基于岗位的安全意识教育解决了 “相关性” 的问题，可以让不同角色的员工（如人力资源、财务、销售、IT等）接受专为其量身定制的意识教育。例如：对于行政人员 ，信息分类、文件保密、U盘泄密、社交媒体隐私等内容就容易引起兴趣和重视。

 

给合适的人，提供合适的内容

网络安全，人人有责！当下，网络钓鱼仍是最受网络犯罪分子“欢迎” 的攻击手段。安全意识教育对每个拥有 email 帐户和/或访问公司网络的人员都至关重要，包括从CEO到前台的每一个人；然而，员工在参与保护企业网络安全/数据隐私方面因工作角色不同而有所差异，不同员工拥有的系统/数据权限不一样，对其安全意识/能力要求不尽相同，相应的意识教育目标也不同，安全意识教育应当反映出这种角色差异性。针对不同层级员工，需要考虑的一些因素：

C级高管

面向高级管理层开展安全意识教育，主要挑战可能是时间和沟通问题。C级高管通常工作繁忙，还有大量会议安排。考虑到这一点，培训内容应尽量简短、重点突出，且需注意沟通用语，引用不同的案例。另外，C级高管认为 “这事儿不可能发生在我身上” 的观念需要扭转。事实上，“鲸钓(Whaling)”、“商业电子邮件入侵(BEC)”、“CEO 诈骗” 往往专门针对企业高管 (如CEO/CIO/CTO/CFO等)，黑客通常会冒充高管角色，向下属发出转账请求。毫无戒心的员工通常不会质疑或违背上级的指令，很容易被骗打开受感染的附件文档或链接、将大笔款项汇入不法分子的账户。据美国联邦调查局(FBI)发布的公告显示，仅2017上半年BEC诈骗已造成全球高达53亿美元的经济损失。

IT部门

对于IT部门来说，安全意识培训应该更偏技术性，涵盖更复杂的网络安全协议、控制措施、安全技术/标准/政策/规范等，不仅要识别威胁，而且还要有处理潜在风险或安全问题的知识与能力。开发人员应提升安全开发意识，掌握安全开发的基本原则、知识和技能，从应用诞生的源头着手减少安全隐患。

各级管理层

管理层在安全意识中的作用是执法者和拉拉队长。他们必须了解不同的安全方法和策略（如使用强密码）、不同的业务场景下员工应该怎么做的规范，并能确保意识计划在各个部门实施。管理层培训不仅应该涵盖一般的安全意识，还应该包括如何确保部门每个人都遵循安全要求。

普通员工

对于一般工作人员来说，安全意识培训内容应该浅显易懂、生动有趣，贴近工作/生活。定期的意识教育可以使整个团队始终保持警惕，还应该确保员工掌握安全事件报告流程等。针对员工的意识计划执行周期较长，需要持续教育，以改变不安全的网络行为习惯。

员工安全意识决定了企业安全最终能够达到的高度

没有员工安全意识的配合，一切安全技术措施的有效性都将大打折扣。提升员工安全意识是任何企业网络安全或风险管理策略的重要组成部分，而意识教育需要采用正确的方式方法。基于岗位角色的安全意识培训意味着确保员工只接受所需内容的培训，占用每位员工的工作时间更少，将更多时间专注于生产性业务工作，还可以降低员工排斥感，提升参与度。以对企业各部门最有意义的方式设计和实施安全意识教育，将有助于每个部门成员将学到的内容自觉应用到日常的工作生活中去。

来源： 超安全