相对于治理体系比较完善的跨国公司，多数国内公司在安全治理和管理方面比较混沌和混乱。俗话说：治乱世用重典。

负责公司信息安全的高管要想有所作为，必须严肃安全纪律，但是员工们又不是机器，管制太严可能引发消极对抗，管制太松又改变不了安全问题严重的现状。

说到底，多数信息安全问题不是技术控管措施所能有效解决的，要保障公司的信息安全最重要的是解决和人员相关的问题。

如同完善的公司治理一样，信息安全治理也需要“有法可依”，大的社会环境正从“人治”不断转向“法治”，公司要长治久安，保持业务持续性，也需从信息安全制度体系建设上入手。

而要依赖制度体系进行有效的信息安全运作，则需开发各级安全文档，高手高层的安全方针政策、相关的安全标准要求和以及最终用户可以参照的安全流程和操作指南。

为了让信息安全规章制度能够真正落实，防止“有法不依”的现象，需要在制定安全规章制度时认真考虑“人员”的因素，毕竟，实施或应用安全流程的是“人员”，安全流程也只有经过“人员”的参与操作之后才能达到其特定的安全控管目标。

不要让信息安全相关规章流程成为审计检查之后的一纸废纸，则需要强化流程与人员之间的互动，为安全策略和流程找一个负责人，或称所有者，通常是部门的主管或经理，负责维护流程的更新。而部门成员则可能是该安全策略或安全流程的遵循者，只需照章办事。信息安全管理部门可能也需要创建和维护整个公司范围内通用的，以及部门内部所有的信息安全相关策略和流程，并且需要协调监管其它各业务单元和部门的安全作业流程和安全操作指南。

理顺了信息安全部门人员及各部门安全工作流程负责人之间的关系之后，则需强化人员之间的沟通协调，这其中重要的是安全观念的推广。安全管理负责人要制定详细的安全意识沟通计划，包括对全体员工定期提供通用的信息安全意识培训，以及协助重点部门和人员进行的基于角色类的安全培训，比如对于管理层，可能需要了解更多信息安全相关的职责，就需要特别的管理层安全意识培训，毕竟各部门的经理主管们除了保障自身的信息安全之外，还要担当整个所辖部门的安全管理责任。而特别的部门，如保安部和IT部等等，则会根据工作实际需要，获得与职位和工作相关的必须安全培训。

可以通过必要的安全考试来测量员工们对信息安全基础知识和相关作业流程的掌握情况，昆明亭长朗然科技有限公司的信息安全顾问Bob Xue称：唯有员工们掌握了必要的安全知识和技能之后，安全策略和流程方可被有真正理解，安全规章制度才能行之有效，安全治理工作也会随之顺利开启。

有了好的开端要再接再励，要让员工们接受这些安全方针管理和标准化操作要求，一方面，要强化审核，通过查看工作记录、审计系统日志、以及随机抽查检测，等等方法可以了解实施情况；另一方面，也需要进行必要的激励措施，人是追逐利益的，给为信息安全建设工作有杰出贡献的员工以必要的奖励，适当惩罚违反安全规章制度的行为，会让员工们在面临安全选择之时趋向正确的决定。

最后，信息安全治理也需要充分利用“人员”，创建员工们互相监督，互相提醒的安全气氛，让坏人无处藏身，让不安全念头灭在萌芽，让安全风气得到端正，进而让不安全行为不得发生。

众所周知，人为错误是目前网络攻击的最大原因。当组织面临网络威胁时，如果员工从未接受过适当的培训以了解如何处理威胁，就不能责怪他们。这也就意味着，在与科技技术交互时，人类很容易出错，在网络安全方面，仅仅一次错误的点击都有可能是有害甚至致命的。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：有调查显示十分之九的网络事故是人为错误的结果，组织机构的第一道网络防线是受过适当教育的工作人员，我们也可以将其视为人类防火墙。通常情况下，成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果，仅此一点，组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然，确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限，环顾当前大部分的入侵行为，威胁者利用的更多是人性的弱点，并非系统的漏洞。正常来讲，兵来将挡，水来土掩，有漏洞（弱点）修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的，想要克服人性的弱点，要困难的多。更为麻烦的是，许多职场员工并没有意识到他们有多么脆弱，也没有意识到他们可以产生多大的影响，无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨，或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的，我们仍然可以做一些事情，以确保员工们能够跟上网络安全的步伐。虽然在传统上，网络安全看起来像是一个特定于IT的问题，不过其越来越像技术、人员和管理的问题，这就使其不再局限于特定的IT技术，更应该是整个组织安全文化的优先事项。谈到网络安全，经历过几十年的IT基础建设及应用开发的热潮之后，最薄弱的环节已经不再是软件或硬件，不再是技术和流程，而是数据和人员。研究表明，通过为员工提供正确的网络意识培训，可以显着减少数据泄露等安全威胁。然而，现实情况是，大多数组织机构，包括机关单位和公司企业，并不具备设置和执行全面培训的专业知识。他们错误地以为，网上找一些网络安全PPT素材，PS一些图片配上文字形成海报及壁纸，或者使用一些公开的网络安全宣传视频，就可以搞得有声有色。的确，有声有色并不难，难的是有效，难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力，以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗？模拟钓鱼能够给出答案，据调查，最终用户打开网络钓鱼邮件的比例高达30%，因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比，在最近的一项研究中，那些只运行网络钓鱼模拟（没有伴随安全培训）的组织中，用户点击恶意网站的平均率为36%，然而，在那些将安全培训与网络钓鱼模拟相结合的组织中，点击率下降到13%，这还不到前者的一半。此外，在进行了持续的安全意识培训的组织中，被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道，并非所有员工都是一样的，对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切，但是可以根据部门量身定制培训，使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟，显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后，才会知道走路是要小心。通过模拟的网络钓鱼，也可以让员工们获得类似的教训，以便他们在面临真实的网络钓鱼时，知道要注意些什么。

通常，从技术上来讲，成功的网络入侵行为源自于某位员工的账号被盗。然而，网络犯罪分子可以通过多种方式使用网络钓鱼，进而盗取人员的账号和权限，更不幸的是，这些攻击不断发展，变得更加复杂且更难以检测。仅此一点，了解威胁的趋势和演变，非常重要。因此请记住，安全意识培训是一个持续的过程。毕竟，培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样，也需持续不断地对员工们进行适当的安全意识培训和更新，来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱，防范网络威胁，也占用了大量的IT资源，不仅用来解决问题，也包括重建和恢复系统的开支。在这些花费里面，最经济有效的，最划算的，可能就是安全意识培训，因为其修复的是人为错误方面的漏洞，而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化，网络治理法规不断出台，合规遵从性成为各类型组织机构的重要工作。即使依据法规要求，制定了最好的安全政策和操作流程，如果没有员工们的理解和认可，也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度，就可以奖励那些遵循最佳实践的人员，奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为，可以帮助塑造企业安全文化，安全应该是企业文化的一部分，因此需要时间，并且应该经常重复安全培训和奖励。衡量的方法，可以包括模拟钓鱼结果、安全巡查以及安全测试，通常来讲，在线培训模块包括考试评估功能，以测试员工的现有知识，并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划，那么确保随着时间的推移，能够有效减少用户的人为错误。前期可以考虑一个高风险环境，如在研发部门、工厂或仓库，定期进行安全意识培训活动。同样，网络安全培训应该持续进行，特别是因为各种类型的攻击在不断发展。在形式和内容方面，也需要创新，量身定制是比较高级的方案，可以结合视频和互动材料，以及进修模块，帮助员工们将网络安全放在重要地位。每个模块都以测试结束，只有在评估成功后才能通过课程的学习，最终获得课程学习证书。学习证书是一种知识认可和精神奖励，有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重，说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁，防范安全事件，已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台，组织机构可以快速发起在线安全意识培训计划，学员们可以随时随地通过电脑、手机、平板等访问在线培训模块，涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们，体验我们的平台以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com