安全培训和意识活动经常无法获得有效的衡量，也不能以预期的方式改变用户的行为，从而给用户和组织带来风险。对此，昆明亭长朗然科技有限公司安全意识研究专员董志军说：信息安全是一门抽象且不直观的学科，非信息技术或安全管理的员工们通常会对其感到沮丧和困惑。通过说教的方式对受众们进行培训，不管课堂气氛如何，讲师水平高低，都无法引起受众们的积极性，进而让人们以正确的方式处理信息。

通常来讲，信息安全管理体系方法论强调应该培训员工们遵守信息安全相关的政策和程序，以便在实际工作中面临安全问题或状况时做出合理的选择和行动。从理论方法上讲，这似乎无懈可击，然而实际上，要让人们领会安全政策的精神，通过反复的宣教和耐心的讲解，并不难实现；让人们严格遵守安全程序中的要求，通过强力的监管和检查，也可以达到。然而，这种信息安全“制度化”管理在大多数机构都还没能落地和普及，说到底，人类不是机器，忘记、忽略、逃避、越过安全政策精神和程序要求的诱因非常强大，这种情景非常普遍。此外，还有一个问题是这些“制度化”管理在某些攻击情景下并不足够，例如利用人性弱点发起入侵是简单的方法，精心策划的有针对性的鱼叉式网络钓鱼活动几乎可以获得100%的成功。

那么，有什么解决办法呢？虽然，信息安全意识是一门综合性复杂的学科，但是，从社会治理的角度讲，再复杂的问题，也都有应对之策。一种比较好的方案便是经常模拟各种入侵测试，使用精心设计的安全渗透游戏，来建立受众的心理防线。比如，为应对桌面清理方面的安全问题，可以随机让某一团队扮演信息窃贼的角色，对其他团队的桌面进行现场入侵和信息搜集。再比如，使用网络钓鱼模拟测试，对用户们进行大规模的社交工程攻击，看哪些用户能够识别并正确响应。这样，当用户承受压力时，就会养成强大的安全习惯。

要让用户们承担起就有的信息资产保护责任，不让其有任何忽略安全基本要求的借口，就需要在知识层面对其进行安全强化，常规的安全意识宣贯通常可以让用户们获得必要的培训。同时，要让用户们付诸安全防范行动，需要提升其对安全问题的敏感性，这就需要实战经验或锻炼。通常来讲，遭遇一次安全事故给人们的安全敏感性提升，强于十次的宣教活动，不过，安全事故的成本过高，通常难以承受。因此，使用低成本的模拟实战训练，是提升用户对安全敏感性的最佳方法。这个道理就如同模拟的军事战争演习和消防安全演练一样。

模拟安全入侵不仅能够有助于防范来自外部的威胁，同样适合防范内部威胁。内部威胁被认为最难防范而且杀伤力巨大，然而内部人员也最清楚内部的弱点。通过攻防演练，鼓励用户们利用内部弱点，不仅能够发现这些安全隐患，及时采取修补措施，也可以让用户们更深切地认识到内部威胁可能带来的危害，进而更加深入理解和认真遵守相关的安全控管措施。

总之，要改变用户们的安全行为，需要安全意识知识能力、安全态度、责任心、积极性、敏感度以及细心度等多方面的要素有机结合。组织在信息安全方面的成功越来越依赖终端用户，看到这一点，昆明亭长朗然科技有限公司在不断创作信息安全知识培训课程资源的同时，也不断为客户提供安全意识宣教活动和计划方面的服务和支持，以帮助客户建立强大的信息安全意识文化，以及稳固的人员安全防线。欢迎有兴趣了解更多的客户及合作伙伴联系我们，洽谈业务合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

日本人做事情比较严谨，可以说一丝不苟，在信息（情报）安全方面也是如此。不过也有一个问题，就是多数日商的内部工作气氛比较沉闷，领导批评和训斥下属做事不力的情景时有发生。当碰到信息安全工作中的问题时，那批评也很严厉。昆明亭长朗然科技有限公司信息安全教育培训顾问董志军说：我就亲眼看过上司当着厂商人员的面，狠狠批评下属的事情。其实缘由就是芝麻粒大一件事——EICAR病毒测试文件引起了防病毒安全报警，但是领导却这么不给脸面，也实在是让我们觉得汗颜。

在信息安全管理方面，严格要求不是什么坏事儿，特别对于靠品质管理来赢得市场竞争力的制造业。信息安全负责人多少会受到更高层领导的管理思想影响，往往期望严格要求下属们，发现违规情况一顿狂批，通过这些高压手段来保障信息安全。

对于长期在日商、台商那种沉闷气氛下工作的员工，或者了解日企企业文化的人们来讲，在接受到批评时，首先肯定会认为是自己做错了什么，能够反省自己的错误。然而，对于流动频繁的职场人员，或长期在比较宽松的欧美、港资或内资公司工作的人们来讲，在受到严厉的批评时，可能不会轻易在心底认错，反而会觉得受了伤害，比较委屈，进而带来的是对信息安全的躲避和抵制。

受众的心理素质各不相同，如何鼓励人们改进他们的安全行为呢？董志军认为：首先当人们在信息安全方面的行为不当时，不要轻易责怪他们。责怪往往会适得其反，不能帮助我们改变或者获得更有效的安全行为模式。

在信息安全意识和行为方面，组织必须找到与员工合作的方式，并让他们改变。这是一门行为科学，综合设计学、心理学和认知科学等领域，我们需要公开严格地测试与安全有关的假设和实践，并根据经验证据修改人们的想法。

设计学并不仅公是构建某种东西（比如产品或系统），而是使其易于掌握的做法。简单说，我们研究用户如何使用信息产品或系统，改进设计，再次测试、改进和重复这个过程。在理想的情况下，信息安全不需要任何人为的互动。就是说，信息安全是隐藏在后台，不影响用户体验的。这么说，安全就只是安全专家的主要工作了，对于其他所有人来说，要把安全放到台面上，那就是对生产力的消耗。

当然，现实世界比较复杂。董志军解释说：仅仅靠技术，很多安全问题是解决不了的。为了自圆其说，“安全与效率的平衡”就闪亮登场了。就如同机场安检一样，人们不得不牺牲效率排起长队经过这一关，安检技术不能是完全透明的，使用大数据和人工智能化来帮助快速安检还远着呢！安全意识和教育也不是解决问题的理想答案，那些坏人才不会轻易受到安全教育方面的感化而放下屠刀。

安检就是将人员、流程和技术有效结合使用的一项典型安全管理措施，尽管有少数人对此不满并反抗，然而，他们的不满和反抗，只被解释和理解为他们不懂安全，带来的也只是被强化进行安全意识教育。

因此，在极端的状态下，强力宣讲信息安全的重要性，可以强制人们理解和接受信息安全相关的要求，虽然这并不表示人们会把安全问题放在首位。用户可能会选择退避，比如不乘飞机和高铁，而选择较慢的线路。或者不接受工作对他们严格的信息安全行为要求，进而辞工并让生活变得困难。

您可能会觉得虽然各种奇葩人物都有，但是这主要还是沟通的问题，没错，这就是心理学和认知科学的范围。信息安全专家需要说服员工们和企业管理者一起，合作起来管理他们共同面临的安全风险。

沟通信息安全相关需求，需要时间、鼓励和指导。不安全的想法、冒险的行为需要得到改变。所有的安全指导必须是可行的，安全沟通必须是简洁明了、有可操作性、经过测试的，我们需要专业信息安全教育人士的帮助才能做到这一点。

要改变人们冒险的行为，并开始践行正确的安全，这急不来，不是张贴几张安全宣传海报、发送几封电子邮件就能实现的。

网络钓鱼测试的帮助也是有限的，这些测试通过向员工发送伪造的网络钓鱼企图，来提高安全意识。它并不能真正地吸引用户，也并不能真正构建正确的安全心态。原因何在？董志军表示：网络钓鱼测试依赖假设的钓鱼场景模型，这可能是缺陷的，这是安全专员们长期以来试图避讳的，但却是客观存在的问题。不断测试我们的假设并加以修改完善，是借助网络钓鱼测试取得信息安全意识项目成功的重要步骤。

我们的一份报告发现，许多安全意识项目是由技术背景的人员而不是由社会学、心理学或沟通等学科背景的人员进行的，这就很难研究用户群并说服他们改变自己的行为。

特朗普国家网络安全顾问在中美网络会议上曾表示，信息安全团队的技能缺陷是一个重大的问题。因此，对于所有进行信息安全意识培训的组织而言，最重要的就是走出技术的笼子，要么请求外部专家的帮助，要么寻求有社会学、心理学或沟通等学科背景的人员加入。

不要轻易责怪用户，更不要使用严厉的惩罚手段来影响安全行为。惩戒特别是对那些无意犯错的，会伤人们的心，换来的不是顺从，而是对信息安全要求的逃避和抵制。董志军举例说：我曾经有一位工作很努力的同事，在两次安全检查被查出问题之后，他都变得谈虎色变，每次再碰到安全检查活动，就立即收拾东西，离开座位，去躲避检查了。我也能理解他，因为安全检查出来的问题，他不仅被警告过，绩效考核也被降了一级，再被抓一次不合格，可能就面临解雇了。

我并不是否认使用常规的安全检查来教育员工们注意信息安全行为，我们要实施惩戒，一定要有充分的沟通，否则惩戒本身就成了一种威胁，人们可能关注更多的是惩戒，而不是网络安全面临的威胁了。如果我们期望员工们对一项新的信息安全要求作出反应，我们需要给出足够的时间和资源。惩戒要让人心服口服，让用户接受信息安全理念，对信息安全行为的改变才有帮助。

对于信息安全行为的改变，不妨换一种思维方式，不要只专注于不良行为，转而奖励积极的正向行为。设置一些安全行为奖项，让人们在实践正确的安全行为时，能获得鼓励，扬善弃恶，进而刺激和培养出好的安全习惯。

总之，信息安全的认知重在沟通，认知的改变能带来信息安全行为上的改变。安全意识的沟通是一项科学，不是简单粗暴地买来安全宣教材料就甩给用户，用户就能消化和接收。昆明亭长朗然科技有限公司帮助信息安全管理层和员工们建立良好的沟通互动。欢迎联系我们，对此文谈谈您的想法，以及洽谈业务合作。

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898