最近，一项国际调查表明：有近一半的职场新员工不知道他们的公司是否有网络安全政策。该研究还表明，员工需要更多关于网络安全政策的沟通和培训。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：如果在国内搞调查，这个数字应该远超过一半，达到90%都不奇怪。很多中小型规模的组织机构，甚至是机关单位，真的就没有网络安全政策，更不能说让员工知晓该政策的内容了。

该调查还表明，组织机构的各个级别的员工们都可能没有意识到他们的工作单位可能面临IT安全威胁。有75%的受访者表示，他们的雇主在网络安全方面完全没有做任何事情，更不用说在该领域进行培训了。简言之，新时代员工几乎没有意识到其所在工作单位的网络安全与自身之间的关系。

有人可能会对国际调查表示疑惑，那些调查的结果有什么用呢？

一方面，员工缺乏意识会使组织面临IT安全风险。攻击将越来越频繁、越来越复杂，以突破组织可以实施的所有保护措施。当下，即使国家、运营商甚至IT部门实施了大量的网络安全保护措施，但是员工们会觉得这是应该的，和自身没有什么关系。这种置身事外的观念，正是网络不法分子的想要的。为什么呢？因为不法分子开始利用人性的弱点，通过员工防范意识的薄弱，冒充权威身份，直接通过电话索取内部甚至机密信息。或者，通过钓鱼邮件、诈骗网站加上恶意软件，渗透员工使用的终端计算设备，进而盗取员工们的身份，以及更多信息资产。

另一方面，网络安全是一场与网络不法分子的竞赛，战场不仅仅是专业人员——IT团队，也包括广大群众——员工。要动员员工们，组成群众防线，需要提升员工们的技能并加之鼓励。俗话说：要出师有名，要有正当的理由。就需要有拿得出来的网络安全政策，不然，员工们可能会在诸如“将计算设备保持最新”方面，有“为什么要我这样做”等等的疑问。

当下，远程工作的激增带来了针对远程工作人员的新一波网络攻击，多位行业专家表示，传统的建筑园区，已经无法为这些终端用户提供边界安全防范，缺乏网络安全培训可能会增加网络风险。

为了提高员工对IT安全问题的认识，专家建议所有规模的组织机构都保持“自上而下”的网络安全政策。有的机构想从网络管理员“自下向上”推，经常会碰一鼻子灰，员工对IT安全问题的认识应该由组织机构的执行领导层来推动。当公司领导者在整个组织中强调并传达IT安全性时，员工才会更加意识到安全的重要性，并为网络威胁做好应对的准备。

网络安全政策，不仅可以名正言顺地“抗击”如黑客等网络威胁，亦能赋予员工网络安全能力，包括责任和义务。

提高安全意识的一种方法是在新员工入职期间进行安全培训。向更高级别的员工提供更合乎其角色和职位的IT安全入职培训计划，能让该高阶群体对IT安全威胁的意识和应对准备程度更高。

总之，为所有员工提供IT安全入门，可以缩小入门级和更高级别员工之间的IT安全知识差距，并有助于确保整个组织对网络安全问题有更加深入的认识和准备。

通常，当人们认为自己处于危险之中时，为时已晚，要么是因为他们认为自己的数据不值得窃取，要么是因为他们没有看到投资网络安全培训可以带来的价值。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：投资网络安全与买保险有相似之处，有时我们看到的一些组织机构的驱动因素只是他们自己或他们的同行成为目标并遭受某种形式的财务或生产力损失，然后最终意识到网络安全的重要性。当管理者认识到恶意软件攻击不仅变得更具破坏性，而且比以往任何时候都更容易感染之时，或者在面临强大的网络攻击骗术，员工们脆弱不堪时，再急忙补搞网络安全意识培训，会发现并不会获得立竿见影的效果。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

网络攻击与数据泄露是现代型的组织机构必须面对的难题，它们是严重的持续性威胁，而且风险只会不断上升。据统计，网络攻击以每年20%的速度增长，并可能影响企业、供应链、客户和合作伙伴。

用于预防、检测和应对安全威胁的技术工具是对抗诸如勒索软件和其他攻击的关键武器。但是，组织机构也必须采取另一个关键步骤来保护自己，那就是教育员工如何识别潜在的攻击，例如网络钓鱼和社会工程，以及他们需要做些什么来避免成为攻击者的“跳板”。

员工们通常被认为是网络安全的核心问题所在，或者是最薄弱的环节，并且因为没有做好准备而受到狡猾的攻击而受到指责，甚至惩戒。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：我们经常听说一句话，就是“不知者不为罪”，尽管法律专家可能对此另有解读，但是企业管理者应该有所反思，企业是否有着眼于大局，并评估他们的培训工具是否有效地教育了职员们，以及职员们是否为他们可能遇到的威胁做好了准备。很多企业将网络安全责任书相关条款标黑，要求职员们仔细阅读后签字认可，我觉得这些虽然能起到一定的法律“震慑”作用，特别是规范员工们的“合规”意识，但是对于防范网络攻击与数据泄露，并不足够。

安全意识培训是交叉性的学科，各厂商使用的工具也不尽相同，其背后的方法、策略和内容，都会对安全意识教育的结果产生重大影响。现代世界资讯过剩，职场人员本来就已经“鸭梨山大”，对具体岗位工作绩效帮助不大的，难有大的兴趣；同时，对于资方来讲，人工金贵，企业也很难抽出专门的充裕的时间来安排员工们学习信息安全。因此，成年人学习和成功保留有关安全意识的有用信息，需要最有效方式。

在不法分子使用越来越复杂的社会工程攻击来困扰各种规模的企业的时代，信息安全管理者需要深入了解提高安全意识的学习方法，以便让员工们能更加投入、能够更好地响应并始终将网络安全放在首位，从而使组织能够成功地建立信息安全文化。

在系统越来越强大，越来越智能化的今天，网络安全专家们仍然认为：员工是网络安全的第一道防线。为什么呢？因为人性太复杂，攻击者与防御者都是如此，特别是在网络钓鱼等社会工程攻击之后，专家们会坚定地认为：技术和系统不能解决一切网络安全威胁，针对人员弱点的安全意识培训永远是不可或缺的重要工作。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。