公司是否应该花钱对员工们进行安全意识培训呢？在信息安全业界，尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性，但是仍然不时有极个别的反对声音，认为对最终用户进行安全培训是在浪费时间，而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先，我们谈一件安全投资是否有必要，得有一个预期的收益，也需拿出可以进行衡量的可行性标准，并据此测量安全投入是否达到了最初的设想目标，即所谓的安全投资回报ROI。不过，在广泛的计算机网络信息安全领域，尚无可以借鉴的广为接受的投资回报算法，因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域，有些计算公式，类似风险=漏洞*威胁*影响*概率之类的公式，不过这些也只是停在安全理论层面，根本不能被最佳信息安全实践操作所理会和采纳，所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此，否定对员工们进行安全意识培训的必要性，明显是站不住脚的，就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次，对安全意识培训持反对意见者可能会质疑安全意识培训的成效，的确安全意识培训不像安装配置企业防火墙一样，设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员，而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者，简直就如同在地上画个圈，让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任，信息安全意识培训本身只是一种安全理念和技能的沟通方式，即使主动发布信息的一方，通常是安全意识培训讲师发出了正确的安全讯息，安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败，而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙，规则配置上却缺乏适当的安全策略标准指引，或者防火墙管理员偷懒，随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效，比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况，通常经过培训之后员工们对信息安全的认知都会有所提升。

再者，安全意识培训的反对者会认为安全意识很难影响安全行为，的确，人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说：几乎所有的城镇人口都会从小就被教育遵守交通规则，但是仍然随处可见闯红灯和穿越马路的情景，我们能否认说交通安全意识教育不能改变交通安全行为么？当然不能，违反交通安全规则的自有他们的“道理”，比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是，这些人在违反交通安全规则的时候，多数知道自己的行为是在违反，假想我们不教育人们遵守安全交规，那世界会混乱成什么样子？要让安全意识和安全行为有效关联起来，需要的是激励措施，奖励积极向上的安全行为，处罚恶劣的不安全行为，自然而然便能建立起“知行合一”的安全合规文化，但看新交规实施以来的威慑作用便知一二。

最后，安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果，说这些的往往是些急于推销安全技术产品的厂商，我们不排除很多安全问题可以通过形形色色的技术控管方式来解决，比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用，它们要发挥效用的最大假设前提是人们的理解和支持，不通过安全意识培训，如何获得理解和支持呢？此外，老人们常说“淹死的人通常都是会游泳的”，不屑于安全意识提升的技术专家们，冒险精神可嘉，但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

在取得成功、走向辉煌的过程中，我们必须有一个个明确的目标，一切以结果为导向。营销团队通常会拿此进行队员励志，成功学专家更是将此奉为圭臬。因为涉及信息安全，特别是用户意识和培训，所以在安全意识领域也应思考有一个明确的目标和导向。

是否要将所有人员培训到最高级别，以便他们可以成为安全解决方案的一部分呢？也许可以通过政策和技术控制用户的行为来使企业获得成功？也许只是审核人员检查安全意识培训相关制度和记录？昆明亭长朗然科技有限公司安全意识专员董志军说：观察安全意识和培训计划的无数方法和可能的结果，无论是否完成，都归结为一件事：改变行为。

有许多企业正在进行网络安全培训，但他们没有什么可以展示的。当然，培训记录通过了审计检查，但人们仍在点击恶意链接，打开可疑的邮件附件，并堕落于社会工程师几十年来未翻新的老套骗术。我们可以在几乎所有的安全评估项目中都看到了社会工程学的影子。网络钓鱼邮件太容易成功了，通常会有三成左右的用户打开附件或点击邮件中的链接，并在出现提示时输入其网络登录账户和密码。这是一个简单而又令人不安的漏洞，然而每天都会发生在世界各地，当然也包括您所在的工作单位。

现行安全意识计划是否能带来安全行为的改变

安全意识计划应该专注于正确的事情，以行为变化为核心，这有助于实现总体安全目标，防止正在做的事情偏离目标，走入歧途。具体有哪些奇葩的偏颇的做法呢？其实在特定的企业文化中的表现各不相同，有拿数据来说话的机构，喜欢搞“深入、公正和持续”的安全评估，进而发现可以带来改进的一些事情。问题是这些IT安全团队“既是运动员、又是裁判员”，他们发起的安全评估通常不是深入的、无偏见的或持续的，因此用户必定“不服”，对安全挑战会持续存在。改变的行为往往不是安全，而是如何搞调查评估和工作表现等等这一些文书工作和政治工作。

有的安全意识和培训计划纯粹就是无脑的跟随，这种找花钱路子的案例有很多。您有没有想过：强迫更多令人头脑麻木的课堂会议或视频会让更多人加入安全措施吗？有没有更有创意的方法，例如采购外部的专业培训服务呢？询问用户他们想要学习什么以及他们想学习它们的方式。IT和安全专员千万不要自以为很了解用户，圈子以外的很多聪明人都可以提供很好的反馈，要提高基层用户的安全性。这并不是在内容和形式方面投大众好，试问，用户们真的喜欢微信观看大片进行学习吗？您得到的真实答案可能让人意外，人们觉得安全培训的内容似乎和自己无关，更不想花费自己的私人时间来学习如何保护公司/单位的信息安全。如果这种错误的认识得不到改观，改变安全行为简直就是痴人说梦了。

很多安全管理者笃信通过惩戒措施会加强员工的安全自律。董志军说：尽管看起来很奇怪，但在受到纪律处分方面，成年员工与年幼的孩子并没有什么不同。如果他们要从错误中吸取教训，他们不应该被责骂和尴尬，而是需要了解为什么他们不应该做他们所做的事情以及他们下次如何更好地处理事情。话虽这么说，相反，在现实中，我们可以看到太多员工因为被恐吓而误解退缩、被指责而冷漠泄气、或被惩罚而心生积怨，进而消极地逃避、抵抗、甚至突破各类安全规章和要求。这当然是改变了员工的安全行为，但是方向却是相反的。

尽快做出必要的改变

无论是商业领域还是个人生活方面，信息安全都是您可以关注和赢得关注的方面。员工安全意识计划需要建立起来才能获得成功。在理想的世界中，这意味着他们甚至没有机会做出安全决策。安全方面技术控制可以帮助解决这个问题，但很有限。最终，在面临安全威胁和问题时，员工将自己拥有重要的安全选择权。您当前的意识和培训工作是否会引导他们走上正确的道路？在仔细检查自己的安全意识计划之前，没人能够知道。

请认识到安全意识和培训工作的核心成果是改变受众的安全行为。只有让合适的、专业的人员参与设定期望，然后方可尽一切努力达到目标，当然并随着时间的推移，目标需要不断修正和抬升。这种PDCA方法，与尽量减少与员工相关的安全风险的方法相同，而且它是被证明科学而有效的。

简要结论

安全意识计划要如何改变安全行为，引导受众参与的积极性是首要任务，这并非靠制作精良的安全宣教大片或者抡起安全事件惩戒的胡萝卜加大棒就可以实现的，要让受众理解安全文化精髓，他们才能认可和接受信息安全方针政策，以及我们发出的安全要求和指令，进而在工作、生活、学习中重复实践安全，进而养成良好的安全行为习惯。

昆明亭长朗然科技有限公司根据不同组织机构的安全文化，以及人员群体的不同特性，量身定制适合的安全意识教育计划，并提供相关安全宣教活动的顾问和实施服务，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系作者董志军，以进一步深入探讨。

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：info@securemymind.com
QQ：1767022898