文章图片



对于企业用户 ， 安全建设从来都不是一件轻松的事情 ， 因为既不能指望通过堆积安全设备就能解决所有问题 ， 也不能指望请几个顶尖的安全专家就能保证自己安然无忧 ， 毕竟安全实在过于复杂 ， 除了外部威胁之外 ， 还要将眼光放在那些不论是在办公室 ， 还是在任意地点办公的员工们 。
根据Proofpoint在2022年早些时候发布的《2022年内部威胁成本全球报告》显示 ， 因内部人员导致的安全事件数量正在显著增长 ， 而在这些事件当中 ， 有56%的比例是源自于员工疏忽 ， 凭证管理问题是员工最容易出现的安全问题之一 ， 有18%的威胁是源自于这一点 。 另外 ， 2022年5月国内某知名互联网企业遭受钓鱼邮件攻击事件可谓是一个典型 ， 由此也引发了业内的思考 ， 包括员工在内的企业内部人员 ， 怎么样才能不会成为整个企业安全建设中的短板 。

说到这里 ， 很多人都提到了安全培训 ， 但所谓培训 ， 指的是培养和训练 ， 两者其实缺一不可的 。 事实上 ， 安全培训经常被视作应对包括网络钓鱼攻击、恶意软件或其他安全危害的有效方法 ， 因为很多管理者会理所应当地认为 ， 只要告诉内部人员这个东西是危险的 ， 那个东西是一种威胁 ， 然后他们就不会成为受害者 ， 从而形成了对企业的防护 。 这种想法可能有点一厢情愿 ， 因为在我们看来 ， 这几乎就等同于告知行为 ， 它对于企业的安全建设会有帮助吗？肯定会 ， 因为哪怕只有1%的成果我们也不能说它是无用的 ， 但从效果来看 ， 相信它距离预期一定会比较遥远 。
应付差事的事情我们见得多了 ， 因此难免也会有这种安全培训往往只是为了满足一些企业的要求而不得不参与的情况 ， 但实际效果如何呢？根据Egress此前发布的一份报告显示 ， 有98%的IT管理者表示 ， 他们会在企业内安排进行安全培训 ， 超过一半的受访企业表示每年都会进行几次安全培训 ， 甚至有近1/3的企业表示几乎每个月都会有 ， 而几乎所有的受访者认为安全培训能够带来积极的变化 。
但该报告的另外几个调查选项的结果却表现得有些“打脸” ， 有84%的受访者承认 ， 在过去一年中他们是成功的网络钓鱼攻击之下的受害者 。 而在原因方面也不出人意料——大多都是因为内部员工的行为 。 最常见的情况就是 ， 员工被网络钓鱼邮件成功欺骗并做出错误的行为 ， 导致数据丢失、将企业信息发送到某个人账户等等 。
这一结果也验证了结论——通常的安全培训并没有起到有效减少安全事件的发生 。 同时可以看到 ， 甚至连定期培训这种长期一贯的方式也没有收获预期的成效 。
如何才能提高安全培训的效果 ， 让其体现出应有的价值 ， 并进而影响到整个企业所有人呢？在我们看来 ， 应主要聚焦于两点：
一、所有的安全培训应当以结果为导向 ， 而不只是一项工作或统计数据 。对员工进行安全培训的目的要保持清晰 ， 那就是为了帮助他们在未来面临可能出现的风险是能够做出正确的选择 。 因此 ， 安全培训应当以结果为考量 ， 而不是在让员工在安全培训的场地中签到就算完成 。 应当以尽可能接近真实的风险状况去考验培训成果 ， 以确定企业内部人员在经过安全培训之后是否会让自己的行为更加规范 ， 这有这种良性的变化出现 ， 才能认为是有用的 。

【|员工不应成为企业安全建设短板 安全素养培训当以结果为导向】