西方国家一项调查表明，约有24%的人员了解IT安全指南但尚未遵循这些指南。另有27％的人明知危险却仍然连接到不安全的网络。25％的人通过协作平台分享机密信息。对此，西方网络安全界对此表示担忧，认为用户觉得当安全措施妨碍其完成工作时，就会绕过安全。

西方国家特别是西欧是近代民主法制思想的发源地，国民有守法的文化底蕴和传统。对些，昆明亭长朗然科技有限公司企业网络安全管理顾问董志军表示：相比起，中华文明深受道家灵活变通文化的熏染，人们为完成工作、达到目标，可能更愿意躲过安全要求，甚至铤而走险违反安全制度，以身试法触犯安全红线。

除了文化的因素，也有时代方面的因素，60后70后80后一代人都有计算机崩溃和丢失数据的丰富经验，以及被网络钓鱼或被病毒攻击的悲惨遭遇。但90后00后人职场人员却生活在计算机和网络时代，经过多年发展，计算机系统相对安全稳定，所以没那么多安全警惕心，他们不知道计算机崩溃、数据丢失的感觉。他们也更不惧怕权威，想挑战旧的体制，其中便包括安全制度和要求。

对此，我们拜访了一家环球科技公司亚洲区的信息安全经理，想了解一下他们的做法，以及我们能为其做些什么。该经理称员工了解安全最佳实践的方式有多种多样的，这最好能和当地的文化习俗联系起来。比如意识内容可能需要考虑差异，比如当地的语言可能并非英语，当地的主流网络应用程序及移动设备可能并非Google、Facebook、Amazon和iPhone、当地的员工喜欢搭乘地铁等公共交通工具而不是开私家车……说到底，国家可以影响他们应该接收哪些信息以及他们如何接收信息。最终，需要记住一条规则：安全意识团队需要有国际意识，根据业务区域的分布，研究当地的特色，当然是与安全意识有关的部分。

在信息安全经理的展示下，我们快速参观了该公司的安全意识计划最佳实践做法。其亚洲业务主要分布于中国、越南、日本，中国和越南主要进行产品研发和交付，日本负责设计和市场。当然，对不同岗位不同部门人员，安全意识的内容也有偏重，除了所有人员都需要掌握的基线安全培训课程之外，设计研发人员偏多保密意识以及软件安全，市场人员则更偏多防范网络诈骗。

安全意识基线培训主要通过电子学习方式进行，包括在线课程、测试和交动式的场景等等，除了可以让学员随时随地自主学习之外，这种方式提供一个好处是可以很方便地更新相关的课程模块并推向全球，比如新近上线的欧盟通用数据保护条例GDPR培训模块。

对于安全意识计划的推动，该信息安全经理称：与人力资源部门的配合相当重要。人力资源设置时间并确保每位员工按要求参加线上培训课程。可能不同部门、岗位或角色需参加的培训稍有不同。最后，需要与行政管理团队的配合，在办公室的电梯、楼道、餐厅、会议区等张贴或悬挂一些宣传海报。

在谈及安全培训的效果，以及如何影响员工们的安全行为时，该信息安全经理称，在国际上，这还在不断探索和前进。该公司的做法是对积极的安全行为进行鼓励，并以此建立长久的安全意识文化。据称，该公司建立了一个环球信息安全小组，成员由来自全部国家和地区的所有部门的代表组成，他们关心网络安全，并通过其向同事们发送安全通讯，在团队会议上发表信息，以及悬挂海报来自愿提高安全认知。随着他们的人数不断增长，安全部门为这些人员设置了一个奖励计划，根据他们所做的贡献奖励他们。同时，除了这些安全代表之外，对其他信息安全积极分子也经常发布奖励，比如那些发掘出产品安全设计漏洞的人员、及时报告出安全事故隐患如新型钓鱼消息的人员，甚至安装安全修复和更新最为积极的人员。这些奖励经常会公开发布在海报和安全通讯中，不断有新的安全意识积极分子出现，安全意识文化便慢慢建立起来。在安全文化建设方面，亚洲与欧美是一体化进行的，信息安全经理认为当地的传统文化对企业文化的影响力非常微弱。

尽管如此，最近该公司仍然遭遇了身份盗用事件。对此，该信息安全经理表示需要在技术和意识双方面进行加强。毕竟，全球性的网络安全威胁是客观存在的，无论黑客从哪个国家或地区，都可以对我们发起网络钓鱼、欺诈邮件、密码骗局、中间人攻击等等。如果我们没有强大的密码，再加上多因素身份验证，以及背后的服务来保护账户，那么账户面临的风险就会增加，而且这将越来越重要。

昆明亭长朗然科技有限公司开发创作了大量高品质的故事驱动型安全意识培训内容。自2010年成立以来，我们为多家世界级客户提供网络安全意识课程内容服务，近年来，我们为中小型企业级客户推出了便捷的在线学习解决方案。

我们的培训视频简短、有趣且有效。偶尔散布的幽默有助于吸引用户的兴趣和注意力并引发人们的思考，以确保在当今组织运作的网络世界中的意识教育和合规性。欢迎有兴趣或需求的客户联系我们，洽谈安全意识宣教方面的合作事宜。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

在服务外包和劳务输出的大环境语态下，很多岗位的正式职位不足，进而造成一些大型机构和行业非常依赖非正式员工，如临时工、协同工、外来工或合同工，甚至情况比私营企业还要严重。不幸的是，合同工作的性质会导致人员缺乏归属感，对某些流程和政策的冷感，特别是当合同工与全职员工不能实现“同工同酬”相同福利的时候。

然而，随着网络犯罪分子越来越多地针对个人用户而非基础设施，全职和合同工都是潜在的网络攻击受害者。因此，合同工也需要受到与全职员工相同的安全培训培训，这一点可以说至关重要。根据工作类型，政府承包商和一线客户支持人员可能会拥有较高的访问权限和如读取客户信息的特权，拥有特定访问权限的人员当然应该知道如何安全地使用雇主的系统。同时，昆明亭长朗然科技有限公司安全意识专员董志军指出：安全意识培训计划对于降低整体网络攻击风险至关重要。在最近针对数千名IT安全专业人员的全球调查中，近50％的受访者认为，在进行安全意识培训后，员工的网络钓鱼侦测技能得到了提升。

由于非正式员工在数据和系统安全方面发挥着至关重要的作用，因此安全意识培训已从“最好有”转变为“必须有”。但是即使员工们拥有网络安全技能，也必须都严格遵循相同的政策和程序，以便采取一致的安全行动和安全措施。

建立全员参与的安全意识培训计划

如何建立一个覆盖包括非正式员工在内的全员安全意识培训计划可能具有挑战性，但是却很必要。如下我们将抛砖引玉，做一些尝试性的探讨。

网络犯罪分子专注于识别组织机构内部潜在的薄弱环节，因此信息安全团队必须尽一切努力消除短板。第一步，应采取以人为本的网络安全教育方法。安全意识培训对所有最终用户都有意义，此外，组织机构还应为受攻击最严重的个人提供量身定制的安全防范教育方案。

要做到这一点，我们应该专注于在适当的时间向适当的人员提供正确的信息。首先，评估最终用户对社会工程攻击的脆弱性；评估整个员工群体的一般网络安全知识水平；确定应在整个机构范围内建立的基本安全技能。通过一些钓鱼测试、调查问卷或摸底考试可以精确掌握。

然后，深入了解并确定最常被网络犯罪分子攻击的人员和部门。一旦确定了其受到攻击的人员，就会找到可能被利用机会和漏洞在哪里。经常受到攻击且经常容易受到攻击的用户群是必须重点受到关注的，属于这两个人群特别是交叉人群更容易受到成功的网络钓鱼攻击、恶意软件感染或更糟的风险。

值得注意的是，这些人员通常会随着特定环境的变化而发生变化。在某些情况下，高阶人员的VIP身份也会使他们成为攻击者的主要目标，因为他们拥有很多信息系统的最高访问权限和内幕信息的决策和优先知情权。

强化安全意识继续教育

实施安全意识培训计划的机构经常忽视频率、灵活性和定制化。不幸的是，仅仅每年进行一到两次培训以“应付检查”是不够的。这种方法不会使网络安全成为常规追求，因此无法帮助最终用户将网络安全最佳实践作为日常习惯。

相反，选择定期交付的培训模块，在短时间内涵盖特定主题更为有效。使用基于计算机的培训平台，它允许组织机构在几乎任何地点提供频繁的按需安全教育，这种方式有助于提高聚焦并对抗训练疲劳。持续进行的正规教育可以做到那些单一的、一年一次的培训无法做到的事情，即保持网络安全在学员心目中的重要地位，而不是年复一年地提供和重新传递相同的内容。

从本质上讲，继续教育计划也比一年一次的培训更灵活，因为它们提供了应对趋势威胁的机会，并使教育优先聚集于当下较为紧迫的威胁。威胁情报不仅在技术方面有价值，这些信息可以帮助我们了解当下的安全新问题，并且可以用于指导安全培训计划。勒索软件等新威胁和最新法规宣传便是各个层面的很好的例子。

安全意识继续教育的方法还允许更大的定制空间，以提供必要的灵活性。并非所有员工都具有相同级别的网络知识或安全责任。尽管有关网络安全基础知识的广泛教育是一个好主意，但基于角色和访问权限提供量身定制的培训同样重要。

最后，网络安全技能还应被视为超越工作场所的生活技能。近45％的智能手机用户表示他们会将个人计算设备用于工作或商业活动，因此越来越需要这些安全技能“永远保持在线”。信息安全团队必须在渐进的步骤中积极地建立安全知识库和改善安全状态。精心设计、周到完善的安全意识培训计划可以做到这一点。

昆明亭长朗然科技有限公司是一家专注于帮助客户提升受众（包括员工、非正式工及合作伙伴人员）安全意识的服务商，我们帮助过多家各种类型、各种规模的客户成功建立和实施了安全意识培训计划。我们也自主开发和制作，并且帮助客户量身定制设计创作了大量的安全意识主题内容，欢迎有兴趣的客户及行业合作伙伴与我们取得联系，洽谈进一步合作事宜。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898