近几年，在大环境方面，软件版权越来越受到重视，各级政府机关逐渐实现了软件的正版化，这些积极的措施大力推动了相关创新型产业的发展，特别是拥有自主产权以及核心竞争力的本土软件，更是从这一政策中获益匪浅。

无需置疑的是在政府机构特别是监管和执法机关实现软件的完全正版化之后，下一步的反盗版关注焦点和工作重点无疑将是各类型的非政府组织机构，而以赢利为目的的各类商业公司更是重点中的重点。

在软件使用方面，各类公司除了面对法规遵从和行政监管的压力之外，实际上更应该关注的是使用非授权软件可能带来的公司名誉损失和品牌负面影响。特别是近几年，关于知识产权和盗版软件的法律诉讼呈现急剧增长的趋势，加之媒体的日益社交网络化，公司的不当软件使用行为一经发现，随之而来的有形的和无形的损失将是往年的数倍甚至几十倍之多。

盗版软件特别是破解软件还存在另一项问题，即安全性，软件破解者现在越来越功利化，一部分以极低的价格出售序列号或破解程序，一部分便在破解程序中动手脚，比如在系统中安装后门程序，进而通过盗用计算资源或机密数据来实现赢利，无疑，在保护公司信息安全方面，使用盗版软件得不偿失。

此外，在云计算和IT服务日渐成熟的今天，软件行业的趋势是软件本身免费，而通过增值功能和支持服务收费，公司如果仍然抱着旧的思维，想躲避软件许可，无疑将花费大量的人力物力在软件本身的使用和故障排差之上，而无法专注于核心的商业价值创造，这显然是错误的方向，必将导致公司严重丧失整体的商业竞争力。

所幸的是根据昆明亭长朗然科技有限公司的一项企业员工安全调查，多数公司的高管都能认识到尊重软件许可协议的必要性，几乎所有总监级别的高管都表示公司应该在政策、资源和监管等诸多层面支持公司员工使用正版软件。

然而，调查同时表明，基层员工对正版软件许可证或正版授权的认识不足，有超过9成的电脑系统用户有安装了非法的或未授权的软件，而问题的严重性在于这些基层受访者根本都没有觉察到使用非法软件可能给公司带来的商业安全风险。

昆明亭长朗然科技有限公司的安全研究员Mike Lan说：“由于历史原因，非法软件的安装和使用在中国多数公司仍然是家常便饭，整改当然需要一个时间过程。不过，及早实现软件正版化，降低由盗版软件带来的商业风险，防患于未然。各公司上至CIO、IT总监和经理，下至软件授权管理负责人员必须立即行动起来，建立标准的授权软件清单和非标准软件采购和安装流程，加强软件资产的监控，更重要的是要加强对基层员工进行软件许可及公司相关软件使用政策和流程的培训，因为只有当员工们认识到使用正版软件的重要性，并且知道通过什么渠道来获得工作所需的正版软件工具，他们才能真正的遵守公司关于正版软件的相关使用规范。”

使用正版软件是否会增加公司的经营负担呢？当然买正版软件需要一定的费用开支，然而尽管软件行业曾被人们认为是暴利行业，但是它也是竞争极为激烈的一个行业，往往都有多个厂家的软件能实现同样的功能，开放的商业竞争使这些软件产品的售价日益公开透明，也逐渐降低到符合消费者可接受的预期水平。

相比于使用非法软件给公司带来的巨大商业安全风险，公司购买正版软件的成本可以说是微乎其微，但是即使公司高管位明白这些道理也并不够，因为基层员工可能由于无知或明知故犯而私下在公司安装和使用盗版软件，这种行为极有可能给公司带来商业信誉和法规遵循方面的灾难，所以在针对全员的安全意识培训课程中强化软件许可方面的教育势在必行。

在众多安全控管措施中，对员工进行信息安全意识宣贯是最经济的方法，在员工上下班必经之路张贴海报便是途径之一。

然而，问题是这些安全信息很容易被忽视掉，如何让员工能真正理解和接受正确的安全理念呢？这就需要安全总监和经理主管们花功夫考虑的了。

如果只对要传达的安全信息向员工进行简单的说教，不但不会获得积极正面的效果，还会引起误解和消极抵抗，这就需要我们在安全理念的灌输上采取更为高明的沟通策略。让我们看看业界资深的企业安全培训专家们都分享了什么。

首先，要明确安全信息沟通的目标，不用多说，终极目标便是保护组织的商业成功以及保护组织的信息资产。但是这些对于普通员工来讲太过空泛，尽管多数员工明白组织利益和个人利益是一致的，但更关心的是自身或所管辖部门的安全工作目标。这就需要我们结合不同工种员工的具体工作来制定详细的目标，安全工作目标的衡量不能照搬绩效考核那套进行严格的数字量化，不是因为安全工作难以量化，而是需要更为灵活和自由。

其次，当员工们了解了自己的安全工作目标之后，便是实现这目标的安全工作方法和战略，相信为达到目标，甚至超越，员工们或多或少都需要改变一些安全行为，以更符合组织的安全要求。要使员工们的安全行为能够被组织所接受并不是简单的事儿，毕竟多数员工并非安全专业科班，也非全职从事安全工作，所以会更多从业务的便利性角度看待安全方法和战略，这就容易引起误解和冲突。例如想快速进入电脑操作的员工会嫌输入电脑密码是高效率工作的障碍，电脑在正常运转时不必要进行系统更新，因为更新之后反倒会带来新的问题……

安全意识沟通有多种方法，种种方法结合起来使用可以组合成不同的安全意识促进方案，而积极正面的、精心策划和执行的安全意识促进计划将提升整体安全态势，并且改善企业商业文化，而且更容易让安全总监们向高阶管理层“出售”信息安全，并且将安全实践与商业战略有效统一。制定培训方案没有定式，但有一点要注意的就是结合组织的实际情况，组织规模、所属行业、地理区域、企业文化等等因素都会影响到安全培训方案的设计，最重要的是利用培训方案解决组织实实在在的安全问题，这些可能通过以往的安全事故调查分析来获得。

再其次，组织的安全方针政策以及标准流程需要向员工进行有效沟通，唯有如此，各类管理和技术类的控管措施方可被理解和接受，这就需要在有了明确的安全信息沟通目标和战略方法之后，制定详细的安全培训沟通计划。制定安全意识培训实施计划的重点在防止单调、防止突击、防止三天打渔两天晒网、防止急功近利，与之对应的便是制定丰富多彩的或不拘一格的安全理念推广活动，海报、条幅、宣传单、安全手册等等虽然操作简单，但只能利用员工的视觉感观，缺乏互动体验，效果也只是初级的。有声的安全意识Flash、安全视频动画等等会充分利用员工的视听感觉，效果可以说上升了一个台阶。最棒的仍然是能激发员工积极参与到安全实践的推广活动，精心策划的安全讲堂或座谈会、安全在线互动课程、安全游戏、安全晚会、安全挑战赛或辩论赛、安全模仿秀、安全模拟攻防赛等等活动能让让员工不同程度地参与到安全实践中来，这些活动多数能利用起员工们的五脏六腑，当然，亲身经历才会获得最好的学习成效。

不要以为要进行这些互动活动花费不菲，实际上借助于现代的电脑信息科技，组织可以使用极低的成本便获得良好的互动应用和成效，例如关于密码复杂度或强度，组织可以实施一套密码强度互动程序，员工可以尝试输入不同长度或复杂度的密码，进而检验它们的强度，在无形中认识到密码安全的重要性。安全模拟攻击也是如此，模仿网络犯罪分子向员工们发送特制的钓鱼邮件，看看员工们的反映，重点联络和教育那些“上钩”的员工，这种活动会让这些员工终身难忘，以至于他们会时刻提防着社交诈骗邮件攻击。

最后，要让安全意识培训成为一项常态，一项例行的工作，持续不断地运行，并不断改进，需要衡量和考核培训工作的成效，并根据考核情况制定改进策略。一方面采用在线考试系统，通过定期的全员安全意识考核了解员工们的安全认识整体水平；另一方面通过分析由员工们的人为失误而带来的安全事故发生率来判断员工们的安全认识和安全行为的改善。

昆明亭长朗然科技有限公司通过提供全面综合的安全意识培训顾问和实施服务，帮助各类型的组织以最恰当的成本建立最有效的安全意识培训计划。