近些年，大国之间矛盾和冲突不断，这造成世界局势的不太平，甚至危险重重并蔓延至信息网络领域。在互联网和信息科技领域，安全漏洞泛滥成灾，熟练的网络犯罪分子窃取私有数据并破坏组织机构品牌声誉的安全事件导出不穷。一连串的勒索软件攻击便是网络攻击泛滥成灾的最新例证，这一系列攻击使高阶领导层甚至董事会在整个业务环境中感到不轻松。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：要确保组织的信息资产免受安全漏洞的侵害，远不是实施IT安全漏洞修复工作计划这么简单。很多安全人员认为及时向所有的系统安装最新的安全补丁，就可以高枕无忧了。

首先没错！组织知道他们需要投资于安全性，特别是及时修复已知的系统安全漏洞（弱点）。但是同时，许多人没有意识到当下的安全已经远远超出了正确的技术产品范畴。那就是“人员”一直在安全中起着举足轻重的作用，以至于许多IT团队将员工称为网络犯罪的“薄弱环节”。即使是采用最佳实践做法来实现了系统的安全性，仍可能会因为一名遭受网络诈骗之类的社会工程攻击的职员而全盘失效。单独一项安全事件就可能使公司陷入混乱，从勒索软件的噩梦到大规模的数据盗窃出售、从在公共场所无意的夸夸其谈到恶意的“删库跑路”等等，都暴露了“人员”弱点的杀伤力，损害组织、员工和客户的机密、隐私和利益的，不再只是微软的某个高危软件漏洞了。

当前，大多数公司仍将安全严格视为IT责任。但是，所有涉及到“人员”的问题通常都是人力资源问题，尤其是在培训计划方面。对此，董志军强调说：要解决“人员”弱点方面的安全问题，就要让安全意识培训应成为组织文化的重要组成部分。

要想有效地防范当前风险，针对人员的安全意识培训必不可少，甚至可以发挥关键作用。不可否认的是，安全政策和程序仍然很重要，但是也需要对员工进行培训以让其遵循这些政策或程序，否则它们将毫无意义。考虑到有组织的网络犯罪日益复杂和强大，安全意识培训就显得尤为紧迫。欺骗性电子邮件地址可以让员工们认为他们收到了上司甚至CEO、CFO的请求。很显然，忙碌的员工们往往会在不知不觉地落入网络钓鱼骗局。我们需要一些新的安全意识培训计划来提高人们对这些社会工程学攻击策略的认识，这就是最近一份调查中，86％的受访者将安全意识培训评为抵御勒索软件的最有效方法的原因。

企业教育专家表示人们可以通过三种方式学习新知识：一、主动了解新事物；二、观察研究他人在做的事情；三、通过犯错来学习。当前的安全意识培训通常会利用最新动态。由于许多老式的合规性驱动性安全意识培训已被证明为效果不佳，因此现代的安全意识培训计划通常会模拟对员工群体的网络钓鱼攻击，以查看点击人员的百分比。这是一门更令人难忘的针对性安全培训方案，可以帮助员工认识到自己的弱点，并克服之。

成千上万的IT和安全团队发现这些方法非常有效。然而，许多人力资源和法律团队对实施此类计划表现出犹豫不决，他们经常担心，这种培训方式涉及“伪装”和“欺骗”手段，与他们正在尝试建立的积极文化相冲突。他们觉得某些员工在单击自己公司创建的电子邮件中的错误链接后可能会感到不适或尴尬。

但是这真的令人不适或尴尬吗？通常，在员工遭受模拟攻击后，他们会看到类似屏幕的内容：“糟糕，您容易遭受网络钓鱼攻击。”他们常常在那一刻会意识到，模拟的网络钓鱼式意识培训使他们免受实际攻击所带来的痛苦，从而避免对其个人身份和公司数据造成潜在的灾难性后果。实际上，当许多员工看到诸如欺诈性域名，伪造的网银通知和感染了恶意软件的文档之类的狡猾犯罪实例时，他们会给出积极的反馈。接受安全培训后，这些员工们会积极地与家人和朋友分享学到的信息。安全不仅仅是业务问题，大多数员工也关心对其个人身份、隐私和资产的保护。

残酷的现实是，现实生活中的恶意行为者确实会采取欺骗手段针对个人和家庭用户。人力资源团队可能会犹豫采用这种模拟式的钓鱼培训，但是如果不能为其员工做好准备，他们可能使组织比以往任何时候都更加脆弱不堪。通常，那些起初拒绝这种创新的“激进”的模拟钓鱼式安全意识培训的组织最终会在遭受攻击后以某种方式要求重启安全培训。不过那是不幸的，因为组织已经付出了很高的代价，所有参与了真实数据泄露的员工也都可能会感到内疚、不安和歉意。

尽管我们建议人力资源部门主动发起安全意识培训计划，还有一个好处是可以帮助公司提供针对此类威胁的合理保护方面的努力证据，员工安全培训记录便是尽职尽责的工作证明。因此，安全意识培训也是防止诉讼的必要条件。

以某科技公司为例，该公司人力资源部门的一名员工受到社交工程诈骗，将公司员工详细目录清单发给了网络犯罪分子，造成两名员工受到电信诈骗和网络钓鱼，该两名员工各自损失了几十万后控告公司没有保护好他们的个人联系信息。公司如果早点实施这方面的模拟网络攻击培训，不仅人力资源部门的员工能防范社交诈骗，更能帮助员工们识别出常见的电信诈骗和网络钓鱼伎俩，还能防止惹上官司。

最终来讲，组织机构的安全实力和文化都可以通过他们在培训方面上的投入来进行评估。担心模拟网络钓鱼培训会带来相关的不适和尴尬的人们可能正在让事情变得更糟糕。因此，以现代方法对待员工人力资源的组织将会把信息安全和数据保护以及员工的福祉列为优先培训事项。

当IT、安全和HR部门携手共同努力，并在安全意识和网络钓鱼培训方面建立了紧密合作之时，组织便在向员工展示教育价值方面的魔力。“人员”逐渐替代技术而成为企业的第一道安全防线，因此，启发员工了解现有的网络威胁对于帮助他们在工作和个人生活中做出更好、更安全的决策至关重要。

欢迎信息安全与人资专业人员在线测试我们的培训平台和内容，联系我们，以及洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

近来，备受业界关注的数据安全泄露事件再次突显了企业信息系统的持续脆弱性。不过，与以往不同的也引起人们注意的是，员工通常沦为复杂的网络钓鱼邮件和其他诈骗攻击的“帮凶”，进而帮助攻击者成功实施对其雇主的信息系统的网络攻击，或者为其他攻击“贡献”力量。对此，昆明亭长朗然科技有限公司企业安全服务专员董志军表示：在越来越复杂的高级可持续性威胁中，攻击者擅于利用员工为“踏板”进行长期“潜伏”，进而让终端的用户（职员）扮演着成功入侵的关键要素。在这种态势下，仅靠技术修复只能减少部分数据泄露的风险。因此，人力资源专业人员和安全意识专业顾问就需要在降低安全风险、使组织免于成为下一个受害者方面发挥关键作用。

下面我们列出了组织机构应考虑采取的确保“人员安全”的九条最佳实践建议，以助力组织加强对敏感信息的安全保障。

• 职业背景调查。要避免那些有“前科”的、干出“删库后跑路”危险动作的不法分子混入工作队伍，前提动画是对需要访问敏感信息或信息系统管理特权的求职者、临时工和承包商，应在开始工作之前进行彻底的背景调查，并在其后定期进行可信度的评估。
• 保密协议签署。要求所有有权访问敏感信息的员工们签署一项保密协议，该协议不仅要求保护敏感信息，还要求雇员对保护雇主的敏感和机密信息而必须采取的措施。
• 职业道德培训。很多安全方面的违规行为并非孤立存在的，往往同时也会违反其他规定，比如外发内部甚至机密信息造成数据泄露的行为，同时必定违反基本的职场专业行为规范。很多腐败行为也会伴随着内幕信息的违规交易或“泄露”而发生。不断进行职业道德与行为规范方面的宣教培训，通过这种内在的、非强制性的约束机制，来强调安全合规性与数据保护职责。
• 安全意识培训。对所有新入职员工进行信息安全意识培训，并对全体员工提供定期的安全意识提醒。为有权访问敏感信息的员工们提供额外的安全意识培训。
• 强健密码意识。要求员工们使用强密码（比如至少8个字符，包括大小写字母、数字、符号的混合），禁止员工与任何人（包括IT部门、主管）分享密码。
• 安全事件响应意识。所有的培训都应包括有关哪些事件构成安全事件以及如何在内部报告安全事件的信息，以便员工们能及时发现安全异常并立即报告，进而连成一道全员安全“人力防火墙”。
• 识别网络钓鱼和电信诈骗。安全意识还应包括有关如何识别和报告网络钓鱼和电信诈骗的信息。员工们通常可能会通过单击链接或打开附件来激活如勒索软件等恶意软件。通常，他们会被钓鱼网站诱骗提供网络登录凭据。鉴于各种骗局的普遍性和严重后果，资方应考虑向员工们发送虚假的网络钓鱼邮件，通过模拟测试，并为落入该“骗局”的员工们提供更多安全意识教育。
• 需要知道和最低限度原则。确保员工们只能在“需要知道”的基础上访问敏感数据，并将授权访问限制为履行工作职责所需的最低限度。当工作职责发生变化时，应及时修改访问权限，并在雇佣关系终止后立即终止访问权限。
• 做好安全事件的应对准备。即使实施了强大的安全防护措施，仍然不可完全避免安全事件的发生。自然而然地，许多事件将被报告给人力资源专业人士或安全意识专业顾问，因此应该制定应对这些“非IT”安全事件的计划。该计划包含强化必要的管控措施，比如改进上述的培训工作等等。

需要补充的是，各家组织机构可能会有不同的职责分工，这九条最佳实践建议可能并非完全落入人力资源部门、信息安全部门或特定工作岗位，尽管如此，增长这方面的知识对于增强跨部门工作的理解互动和协同配合非常有帮助。

希望这些建议能够给人力资源专员一些启发和帮助，如果您对本文的观点有独到的看法，请不要客气地联系我们，一起分享一起进步。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898