在数据就是生产力的年代，数据安全受到了前所未有的重视，各机构在管理制度和技术措施方面都下足了功夫。此外，了解数据泄露与人为错误之间的关系对于有效的信息安全管理至关重要。人为错误是网络安全事件的一个重要因素，知名机构IBM和Verizon的研究表明，人为错误分别造成了大约95%和82%的数据泄露事件。

网络安全中的人为错误类型包括两种：第一种是最典型的，人们执行熟悉的任务时，由于粗心大意或心不在焉，就会发生基于技能的错误。第二种是当人们缺乏必要的知识来做出明智的决策时，就会发生基于决策的错误，从而导致安全隐患。基于人为失误的一些示例包括网络钓鱼诈骗、脆弱的密码、错误的配置和内部威胁等等。不管是是哪种人为错误，都会造成数据泄露方面的不良影响，甚至严重后果。可以这么说，人为错误造成的数据泄露或失窃可能会导致重大财务损失、知识产权被盗以及组织声誉受损。

那么，如何解决人为错误呢？除了心怀恶意的人员（内部威胁）之外，组织机构应该避免将人为错误归咎于个人，而是专注于减少错误机会并提高安全意识。粗心大意是因为缺乏容错机制和警惕提醒，知识缺乏是因为培训教育的不充分。因此，常见的人为失误缓解策略包括：

• 实施强大的访问控制、修补软件和强大的身份验证方法来减少人为错误发生的机会。
• 通过重复性、参与性和交互式培训来教育用户，以提高意识并减少人为错误。
• 培养以信息安全为中心的企业文化，并定期评估和更新最佳网络安全实践。

总之，人为错误是数据泄露的主要原因，缓解策略应侧重于减少错误机会并改进员工网络安全意识教育。唤醒员工的信息安全意识对于保护敏感数据和资产至关重要，业界有针对员工进行安全意识培训的策略和方法，其中包括：

1. 展示领导支持：鼓励高层管理人员成为信息安全的榜样，他们对安全的积极参与和承诺可以影响员工的效仿和安全行为。
2. 发布政策和指南：制定并执行明确的信息安全政策和指南，确保员工了解遵守这些准则的重要性以及不遵守这些准则的后果。
3. 召开培训和研讨会：为所有员工定期举办信息安全培训课程，涵盖密码管理、网络钓鱼攻击、社会工程、数据保护和安全浏览习惯等主题。应该尽量使培训活动具有互动性和吸引力，以保持员工对数据安全保护工作的兴趣。
4. 强化沟通和宣传活动：使用海报、新闻通讯、电子邮件或内部社交媒体平台分享信息安全新闻、提示和现实生活中的违规示例，进而让信息安全主题成为人们关注的焦点，并鼓励员工提高安全认识。
5. 实施模拟演练：定期进行网络钓鱼或社会工程模拟，以教育员工如何识别和应对潜在威胁，这样做可以帮助他们养成谨慎和警惕的习惯。
6. 激励和认可：奖励表现出良好信息安全实践或报告潜在安全事件的员工，这样做亦可以激励其他人效仿。
7. 鼓励安全事件报告：建立一个简单且易于访问的安全事件报告系统，供员工报告任何可疑活动或潜在的安全事件，这样做将有助于创建从事件中学习的安全文化。
8. 强化第三方意识：将信息安全意识扩展到可能有权访问组织数据的承包商和供应商，因为他们也可能带来数据安全方面的泄露风险。
9. 持续改进安全意识工作：根据反馈、不断变化的威胁和不断变化的业务需求，持续评估和完善意识计划。定期更新安全策略和培训材料，以反映最新的威胁和趋势。定期进行审查以评估意识计划的有效性并做出必要的改进。

通过实施这些策略，安全管理团队可以在组织内创建信息安全文化，进而减轻人为错误造成的安全事件，并使员工成为抵御网络威胁和保护数据安全的第一道防线。为帮助各类型的组织机构构解决“人为错误”方面的安全风险，昆明亭长朗然科技有限公司创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件等等。

每个安全意识动画视频都简洁明了且富含安全道理，所有脚本均由经验丰富的网络安全专家根据真实的网络威胁编写，跨职能团队拥有安全威胁和响应、内部沟通培训、全球情报网络、隐私和法律等方面的行业知识。这些培训视频可以集成到组织内部的工作沟通平台或在职培训系统中，或者使用组织选用的外部托管学习管理系统进行部署，当然也通过电子广告屏幕、移动沟通平台和视频网站进行传播推广。

安全意识在线学习使用游戏化的互动模块，可以保持用户的参与度，每个模块后面都有简短的测验，以确保用户积极观看培训内容。测验并非仅仅对日常用户可能立即知道的基本知识进行，而是将挑战性的问题纳入了测验之中，这些问题只有通过积极学习、认真思考并理解方能知道。安全意识负责人员可以通过在线学习管理系统的综合报告，跟踪安全意识计划效率和学员们的学习绩效，采取及时的提醒和督促行动，进而培育出成功的信息安全文化并降低人为错误带来的风险。

欢迎有兴趣的客户及伙伴联系我们，预览我司的在线课程内容资源，以及体验在线学习平台的功能。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

众所周知，人为错误是目前网络攻击的最大原因。当组织面临网络威胁时，如果员工从未接受过适当的培训以了解如何处理威胁，就不能责怪他们。这也就意味着，在与科技技术交互时，人类很容易出错，在网络安全方面，仅仅一次错误的点击都有可能是有害甚至致命的。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：有调查显示十分之九的网络事故是人为错误的结果，组织机构的第一道网络防线是受过适当教育的工作人员，我们也可以将其视为人类防火墙。通常情况下，成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果，仅此一点，组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然，确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限，环顾当前大部分的入侵行为，威胁者利用的更多是人性的弱点，并非系统的漏洞。正常来讲，兵来将挡，水来土掩，有漏洞（弱点）修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的，想要克服人性的弱点，要困难的多。更为麻烦的是，许多职场员工并没有意识到他们有多么脆弱，也没有意识到他们可以产生多大的影响，无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨，或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的，我们仍然可以做一些事情，以确保员工们能够跟上网络安全的步伐。虽然在传统上，网络安全看起来像是一个特定于IT的问题，不过其越来越像技术、人员和管理的问题，这就使其不再局限于特定的IT技术，更应该是整个组织安全文化的优先事项。谈到网络安全，经历过几十年的IT基础建设及应用开发的热潮之后，最薄弱的环节已经不再是软件或硬件，不再是技术和流程，而是数据和人员。研究表明，通过为员工提供正确的网络意识培训，可以显着减少数据泄露等安全威胁。然而，现实情况是，大多数组织机构，包括机关单位和公司企业，并不具备设置和执行全面培训的专业知识。他们错误地以为，网上找一些网络安全PPT素材，PS一些图片配上文字形成海报及壁纸，或者使用一些公开的网络安全宣传视频，就可以搞得有声有色。的确，有声有色并不难，难的是有效，难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力，以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗？模拟钓鱼能够给出答案，据调查，最终用户打开网络钓鱼邮件的比例高达30%，因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比，在最近的一项研究中，那些只运行网络钓鱼模拟（没有伴随安全培训）的组织中，用户点击恶意网站的平均率为36%，然而，在那些将安全培训与网络钓鱼模拟相结合的组织中，点击率下降到13%，这还不到前者的一半。此外，在进行了持续的安全意识培训的组织中，被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道，并非所有员工都是一样的，对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切，但是可以根据部门量身定制培训，使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟，显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后，才会知道走路是要小心。通过模拟的网络钓鱼，也可以让员工们获得类似的教训，以便他们在面临真实的网络钓鱼时，知道要注意些什么。

通常，从技术上来讲，成功的网络入侵行为源自于某位员工的账号被盗。然而，网络犯罪分子可以通过多种方式使用网络钓鱼，进而盗取人员的账号和权限，更不幸的是，这些攻击不断发展，变得更加复杂且更难以检测。仅此一点，了解威胁的趋势和演变，非常重要。因此请记住，安全意识培训是一个持续的过程。毕竟，培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样，也需持续不断地对员工们进行适当的安全意识培训和更新，来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱，防范网络威胁，也占用了大量的IT资源，不仅用来解决问题，也包括重建和恢复系统的开支。在这些花费里面，最经济有效的，最划算的，可能就是安全意识培训，因为其修复的是人为错误方面的漏洞，而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化，网络治理法规不断出台，合规遵从性成为各类型组织机构的重要工作。即使依据法规要求，制定了最好的安全政策和操作流程，如果没有员工们的理解和认可，也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度，就可以奖励那些遵循最佳实践的人员，奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为，可以帮助塑造企业安全文化，安全应该是企业文化的一部分，因此需要时间，并且应该经常重复安全培训和奖励。衡量的方法，可以包括模拟钓鱼结果、安全巡查以及安全测试，通常来讲，在线培训模块包括考试评估功能，以测试员工的现有知识，并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划，那么确保随着时间的推移，能够有效减少用户的人为错误。前期可以考虑一个高风险环境，如在研发部门、工厂或仓库，定期进行安全意识培训活动。同样，网络安全培训应该持续进行，特别是因为各种类型的攻击在不断发展。在形式和内容方面，也需要创新，量身定制是比较高级的方案，可以结合视频和互动材料，以及进修模块，帮助员工们将网络安全放在重要地位。每个模块都以测试结束，只有在评估成功后才能通过课程的学习，最终获得课程学习证书。学习证书是一种知识认可和精神奖励，有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重，说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁，防范安全事件，已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台，组织机构可以快速发起在线安全意识培训计划，学员们可以随时随地通过电脑、手机、平板等访问在线培训模块，涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们，体验我们的平台以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com