IT安全专员使用各种技术和工具来保护公司的重要以及敏感​​数据，但是其中最重要的安全方法，也就是安全意识培训，却经常被忽略。防病毒、防火墙和备份在IT安全领域中扮演着关键角色，但是最终，受过良好的安全教育和训练有素的员工才是帮助保护组织信息安全的核心要素。IT安全团队要避免花费无数艰苦的时间与病毒作战、填补安全性差距、正确恢复文件……对此，昆明亭长朗然科技有限公司信息安全管理体系专员董志军表示，各类型组织中的信息安全从业人员，都需要在组织范围内，对员工们进行必要的安全意识培训。当然，每年一度的PowerPoint展示仅能混混日子，是远远不足够的，如下，我们向您分享几条这方面的战略方法和战术技巧：

掌握知识是成功的一半。赋予员工们足够的安全知识永远不是坏事。信息安全团队可以开展简短的安全意识教育活动，例如通过电子邮件发送安全知识点滴，以告知员工有关勒索软件与恶意软件之类的公司安全概念，或借助餐厅的电视宣传屏，告知员工们如何识别社交工程企图的知识。员工通常会由于无知而导致违反安全的行为，因此，设置“信息安全基础入门”之类的学习课程，将大大减少由于员工人为错误而引起的安全性问题。

不要躲避阴暗的一面。确保员工重视安全的一种方法是威慑他们，尤其在不重视规则的文化圈。向员工们说明不遵守安全惯例的风险和后果，包括可能被解聘、甚至处以罚款和交由司法诉讼。在安全意识培训期间，与员工们分享公司、行业和全世界的安全案例故事，以传达不良安全实践的影响。如果不方便使用内部案例，请与您的团队分享知名机构最近发生的重大安全漏洞的故事。时刻跟踪业界安全事故，定期上网搜一搜安全违规案例，这样就可以不断积累和更新素材，在进行宣教时，就更易抓住受众的心，获得他们对安全要求的理解和认可。此外，在对团队进行安全意识教育时，可以使用可能会影响到他们个人的示例。例如员工认为自己的个人银行业务和信用卡信息可能受到威胁的话，则他们更有可能养成良好的安全习惯。

如果心存疑虑，便将其丢弃。信息安全意识培训的核心概念是告诉员工们不要打开可疑链接或下载奇怪的文件。无论您是定期发送安全意识电子邮件，还是进行线上培训课程，您都应始终重复并执行这一核心思想……不要打开奇怪的东西。告诫员工们切勿打开意外的附件或链接。这包括来源不明，甚至已经来源的奇怪附件或链接。另一个通常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘或USB存储驱动器。众所周知，USB设备价格低廉，数据窃贼会将USB设备留在公共场所，那里面装有旨在窃取信息的木马病毒。而且，U盘体积很小，容易丢失。

保持计算机设备的清洁。应用安装的越多，安全漏洞和可能导致的问题也就越多。您的组织可能对可以在计算机上安装和访问的内容有明确的规则，但是这些规则是否得到有效传达和遵守？确保员工们知道信息安全规则。在您的组织内部网站上清晰地发布相关规则，或频繁发送安全意识培训电子邮件，以尽可能清晰地转发重要的安全点。不能过于依赖上网行为管理，员工们并不傻，如果没有足够的安全合规意识，他们中的聪明人可能会找到很多突破上网行为管理的方法，这反倒很不利于信息安全与保密管控。保持清洁可以不仅限于计算机设备，还是包括桌面，因为桌面上还会有很多计算机之外的信息、设备和财物。定期的办公区安全检查是不错的安全意识宣教辅助手段。

坦诚沟通，而不要躲躲闪闪。一方面，信息安全专员要站在组织的立场上，向员工们强调安全要求的必要性，采取开放的姿态，讲述可接受的信息（系统）使用准则，员工行为安全监控等等。另一方面，要鼓励员工们及时报告安全违规情况和安全威胁事件。对网络造成危害的员工通常会感到尴尬，要避免这一点，需要鼓励其尽早发声，由于员工个人的不慎，将病毒引入组织甚或导致数据泄漏的情况很常见，这往往并非员工本身的恶意行为，因此员工们没有任何隐藏的理由。如果您认为自己可能已成为网络钓鱼诈骗的受害者或下载了病毒，请迅速采取行动。立即让信息安全团队了解情况，并收集尽可能多的信息以采取必要的应对和防范行动，以避免和挽回可能的损失。

综上所述，信息安全团队进行了大量的幕后工作，以确保组织的网络安全。然而，赋予员工们强大的安全习惯可以将安全带到一个新的高度。切记：“谨慎是安全之源，小心行得万年船。”多年来，昆明亭长朗然科技有限公司专注于信息安全意识宣教业务，我们帮助大量各种类型各种规模的客户对员工进行安全、保密与合规意识的宣传教育，获得了大量的好评，欢迎有兴趣和需求的客户及行业伙伴们联系我们，洽谈业务合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

公司是否应该花钱对员工们进行安全意识培训呢？在信息安全业界，尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性，但是仍然不时有极个别的反对声音，认为对最终用户进行安全培训是在浪费时间，而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先，我们谈一件安全投资是否有必要，得有一个预期的收益，也需拿出可以进行衡量的可行性标准，并据此测量安全投入是否达到了最初的设想目标，即所谓的安全投资回报ROI。不过，在广泛的计算机网络信息安全领域，尚无可以借鉴的广为接受的投资回报算法，因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域，有些计算公式，类似风险=漏洞*威胁*影响*概率之类的公式，不过这些也只是停在安全理论层面，根本不能被最佳信息安全实践操作所理会和采纳，所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此，否定对员工们进行安全意识培训的必要性，明显是站不住脚的，就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次，对安全意识培训持反对意见者可能会质疑安全意识培训的成效，的确安全意识培训不像安装配置企业防火墙一样，设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员，而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者，简直就如同在地上画个圈，让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任，信息安全意识培训本身只是一种安全理念和技能的沟通方式，即使主动发布信息的一方，通常是安全意识培训讲师发出了正确的安全讯息，安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败，而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙，规则配置上却缺乏适当的安全策略标准指引，或者防火墙管理员偷懒，随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效，比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况，通常经过培训之后员工们对信息安全的认知都会有所提升。

再者，安全意识培训的反对者会认为安全意识很难影响安全行为，的确，人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说：几乎所有的城镇人口都会从小就被教育遵守交通规则，但是仍然随处可见闯红灯和穿越马路的情景，我们能否认说交通安全意识教育不能改变交通安全行为么？当然不能，违反交通安全规则的自有他们的“道理”，比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是，这些人在违反交通安全规则的时候，多数知道自己的行为是在违反，假想我们不教育人们遵守安全交规，那世界会混乱成什么样子？要让安全意识和安全行为有效关联起来，需要的是激励措施，奖励积极向上的安全行为，处罚恶劣的不安全行为，自然而然便能建立起“知行合一”的安全合规文化，但看新交规实施以来的威慑作用便知一二。

最后，安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果，说这些的往往是些急于推销安全技术产品的厂商，我们不排除很多安全问题可以通过形形色色的技术控管方式来解决，比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用，它们要发挥效用的最大假设前提是人们的理解和支持，不通过安全意识培训，如何获得理解和支持呢？此外，老人们常说“淹死的人通常都是会游泳的”，不屑于安全意识提升的技术专家们，冒险精神可嘉，但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。