根据安全意识报告，超过80%的安全意识专业人员具有信息安全或信息技术背景。不到 15%的人拥有培训、营销或沟通等软技能的背景。这就暴露出安全意识工作面临的一个困境：现有人才在安全意识的技术部分是没有问题的，但是却缺乏用户行为改变的软技能。

作为安全意识培训的项目主管，我参与过数百个组织的安全意识宣教建设活动，帮助数百万员工了解信息安全的理念和要义，通过供应链传播、职场流动和员工家庭与亲友们的辐射作用，这将带动数亿国民提升和强化安全防范意识，无疑有助于建立一个更安全更和谐的网络社会。

我们一直说，安全文化需要的是潜移默化，暴风骤雨似的宣传“运动风”来的快速也去的忽然，这正是在建立全面的意识计划需要防止的，文化建设是为了改变人员的不安全行为，这注定是一场长期而艰苦的战争，非运动式的战斗和战役所能取得的。 由于网络安全专业人员（包括意识领导者）精通技术技能，因此他们了解需要改变哪些行为，但是在如何尝试改变这些行为方面却表现不佳。毕竟，人无完人，术业有专攻。

改变一个人的行为是很难的，安全意识培训不应该如此。一般来说，许多组织都会犯“认知超载”的错误，即向员工倾倒太多知识内容，以至于他们在学习后没几天就完全忘记了。这听起来是不是有点熟悉的味道？好的办法是保持安全意识培训的简短而轻松，并专注于真正能够降低风险的内容。因此，需要负责人员提前花时间确保学员的参与度和内容的相关性，避免认知超负荷。

类似日常生活中人们行为改变的触发因素，安全行为的改变也源自安全认知的改变，有些员工会在安全事件发生后自省，然而这种代价太高。前车已覆，后车当戒。学习并吸取他人的教训，避免重蹈覆辙，是当今职场人士几乎都具备的生存能力。这就需要我们加强沟通，去展示一些安全事件案例，去发动一些模拟攻击，借机向受众解释为什么他们应该关心网络安全。然后，我们需要用简单的语言传达我们需要他们做什么，并确保人们能够表现出这些行为。然而，说起来简单，做起来难，很多IT或安全专业背景的人士都会受到知识诅咒的困扰——他们对某件事非常了解，却因为自己是专家而无法准确地沟通传达。我们看到很多媒体主持人在专家面前侃侃而谈，而专家却显得很笨拙，就类似这种情况。因此，我们需要投入一定比例的时间来琢磨沟通事宜，来改进传达关键意识信息的方式。

沟通不是单向的，对于全员安全意识计划来讲，专家的单打独斗并不足够，这就需要协同合作，与各个利益相关者沟通的内容以及沟通方式对于获得支持、认同和行为改变至关重要。建立可靠的计划需要大量不同的技能以及与不同部门的协调。 例如，与沟通部门合作以帮助员工参与，与人力资源部门合作以更好地了解目标群体，与法律和审计部门合作以确保培训计划合规。一起合作的人员越多，成功的机会就越大。当然，沟通合作的群体也可以是外部咨询服务团队，毕竟术业有专攻，有了外部的专业资源的加入，更利于探索启动安全意识计划，该计划不仅可以扩展行业人脉资源，还可以在整个行业中树立安全意识工作的标杆。

信息安全意识专业人才缺乏问题的解决方案是创建安全意识计划。该计划旨在教育员工了解网络安全的重要性，以及他们保护自己免受网络攻击的各种方法。该计划还应重点教育员工了解其行为的后果，例如打开网络钓鱼电子邮件或泄露个人账户的密码。当然，计划也不能忽略变化，即有应对措施。如下我们将简要谈一谈。

网络钓鱼：这里的重点是我们需要交互式的模拟行为，以便人们了解网络钓鱼攻击的迹象、检测到此类攻击时应采取的措施，以及如何报告此类攻击。需要重点关注的是阻止攻击所需的安全行为，而不是模拟钓鱼测试。不幸的是，模拟网络钓鱼不仅是许多意识计划的开始，同样也是结束。要知道，网络钓鱼培训是建立整体安全意识计划的重要组成部分，但其本身还不够。

密码安全：密码安全最关键的方面是人们如何使用密码。更广一点说，人们如何保护他们的身份免于盗用，他们是否与同事分享密码？他们是否为每个站点设置唯一的密码？是否使用密码短语和密码管理器？因为使用一些助记的小窍门和小工具是解决个人密码安全的基本行为要素。当然，也要教导用户启用尽可能安全的身份验证解决方案比如：生物特征鉴别和两步（双因素）验证。

意外应对：虽然恶意的攻击行为是不可避免的，但是大多数的安全问题都是由简单的员工事故或疏忽引起的。例如：将手机忘在出租车上、随意共享文档而没有意识到其中包含高度敏感的数据、或者由于邮件客户端中的自动完成功能将收件人设置为错误（但相似）的人员而意外向其发送邮件。这些问题需要人们养成谨慎对待安全并加强安全检查的行为习惯。

搞好这三项，就有了一个良好的开端，重要的是管理组织内部和周围人员带来的风险，这种风险文化不是一朝一夕能够建立的，文化不仅仅是行为，还包括人们对网络安全的看法、态度和信念。文化以及融入情感的过程对于技术人员来说可能是一个挑战。现有的企业文化对于沟通和协作方式以及最终成功安全改变行为起着关键作用。企业文化有外向和内向两大类，开放式的外向文化（例如科技公司中的文化）通常更喜欢让员工们按照自己的时间表观看和消费的幽默内容，而保守式的内向文化（例如保险、金融和政府）通常更喜欢让职员们阅读的更温和或“专业”的内容和材料。因此，我们需要研究企业文化，了解组织的价值观和信念，为信息安全意识计划规划提供信息。与人力资源人员进行交谈，他们通常最了解组织的文化以及如何影响安全意识计划。

总之，创建成熟的意识计划，需要利用技术技能和以人为本的软技能。大多数安全意识专业人士在技术方面没有问题，通过解决软技能方面的问题，无论是发展自身技能、跨部门协调还是引进外部人员，都将在改变安全行为和组织文化方面大有帮助。最后是小广告时间，笔者就职于昆明亭长朗然科技有限公司，专注于为各类型的组织机构提供信息安全意识产品和服务，我们有大量的知识内容和平台工具，欢迎有兴趣的人员联系我们，洽谈合作事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

相关网络安全调查报告称：约四分之一的中国网民在工作和个人生活中，使用相同的密码。对此，有人不以为然，觉得没什么大不了。然而，昆明亭长朗然科技有限公司网络安全研究员董志军表示：这显示出一个严重的问题，重复使用密码不仅仅危害到个人信息安全，也对工作领域里的商业安全，甚至国家安全造成威胁。网络犯罪分子在拿到人们的一个账号和密码后，会在其他大量系统中使用该账号和密码，尝试进行登录。

近几年，个人数据的保护成为了法律严格监管的内容，不管是世界范围内影响巨大的欧盟通用数据保护条例，还是国内的个人信息保护法，都是各类型组织机构必须认真严肃对待的，即使业务范围并不受到欧盟的管辖也应了解该法的精神要义。对于在法律管辖范围内的，如果没有证明认真遵守，那么就会受到严厉的处罚。而网络钓鱼和社会工程学攻击却越来越普及，越来越复杂化，各类型的组织机构为此已经付出、正在付出、或者将要付出巨大的代价。

您可能会说，我们没有太多的在线业务，或者业务流程中需要联网的部位并不多，即使如此，在网络犯罪越来越猖狂的网络世界里，您也得学会保护好自己以及在线业务的安全。保护好所在机构的安全，降低商业信息风险，涉及的管控措施相当多，很多管理者一提到网络安全建设就头痛，不知如何开始。其实，把最紧要的先搞起来，先建立初步的网络安全策略和基础设施安全，然后进行全员安全培训，接着再慢慢改进关联、分支及边缘的领域，这是最优的，也是最容易起步的做法。

在保护信息基础设施方面，最基本的三步走，包括：识别和修复物理层面的安全弱点、安装及更新防病毒及防火墙、坚持执行常规的数据备份。这三步有效执行下来，能够防住超过半数的网络入侵企图。

网络不法分子来“硬”的不行，就会来“软”的，即进行钓鱼和社工等骗术，例如他们拿不下防火墙，便会尝试搜集个人信息并冒充人们的身份实施电话或网络骗局。

对付不法分子的“软”招儿，安全意识是最好的防线，在组织范围内提升安全意识，需要持续不断地对全体人员进行提醒和教育，相关的知识主题和工具包括：

• 如何识别可疑的钓鱼邮件；
• 如何认出社会工程学骗术；
• 如何选用坚如磐石的密码；
• 如何管理个人及敏感信息；
• 如何正确使用社会化媒体；
• 如何安全地进行远程工作；
• 如何识别和报告安全事件……

安全意识宣教的方式和渠道有很多，常见的低成本方式有平面图片宣传，如标语条幅、海报图文、彩页折纸、桌面背景、电脑屏保等；稍稍进阶一点的花费较多的有卡通漫画、意识手册、电子期刊、台历礼品等等；更为高阶也相当奢华的包括：动画视频、互动测试、电子学习、模拟攻击、知识竞赛、体验活动等等。当然，还有一些常规的方式如课堂培训、专题研讨、线下检查(巡查考核)、创意大赛(稿件征集)等等活动，这些活动的成本和企业规模及受众人数的关系较大，不可一概而论。

需要补充提醒的是，网络安全威胁不断翻新，在技术、人员和管理几个层面，都需要不断优化和改进，有的方式方法适合在内部自己动手，比如专题研讨、创意大赛、课堂培训等，有的方式方法可与外部提供商一道，比如动画视频、电子学习、体验活动等等。当然，不同的组织机构所青睐的人员沟通及培训方式各有不同，寻找适合自身的，不断尝试其他的方式，也是在努力改进网络安全的过程。

昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容，包括动画视频、平面图片和电子课件资源，其中也有关于信息安全、知识产权与隐私保护相关的法规科普，以及员工们需知的数据安全及保密知识，欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com