员工不应成为企业安全建设短板 安全素养培训当以结果为导向

对于企业用户，安全建设从来都不是一件轻松的事情，因为既不能指望通过堆积安全设备就能解决所有问题，也不能指望请几个顶尖的安全专家就能保证自己安然无忧，毕竟安全实在过于复杂，除了外部威胁之外，还要将眼光放在那些不论是在办公室，还是在任意地点办公的员工们。

根据Proofpoint在2022年早些时候发布的《2022年内部威胁成本全球报告》显示，因内部人员导致的安全事件数量正在显著增长，而在这些事件当中，有56%的比例是源自于员工疏忽，凭证管理问题是员工最容易出现的安全问题之一，有18%的威胁是源自于这一点。另外，2022年5月国内某知名互联网企业遭受钓鱼邮件攻击事件可谓是一个典型，由此也引发了业内的思考，包括员工在内的企业内部人员，怎么样才能不会成为整个企业安全建设中的短板。

说到这里，很多人都提到了安全培训，但所谓培训，指的是培养和训练，两者其实缺一不可的。事实上，安全培训经常被视作应对包括网络钓鱼攻击、恶意软件或其他安全危害的有效方法，因为很多管理者会理所应当地认为，只要告诉内部人员这个东西是危险的，那个东西是一种威胁，然后他们就不会成为受害者，从而形成了对企业的防护。这种想法可能有点一厢情愿，因为在我们看来，这几乎就等同于告知行为，它对于企业的安全建设会有帮助吗？肯定会，因为哪怕只有1%的成果我们也不能说它是无用的，但从效果来看，相信它距离预期一定会比较遥远。

应付差事的事情我们见得多了，因此难免也会有这种安全培训往往只是为了满足一些企业的要求而不得不参与的情况，但实际效果如何呢？根据Egress此前发布的一份报告显示，有98%的IT管理者表示，他们会在企业内安排进行安全培训，超过一半的受访企业表示每年都会进行几次安全培训，甚至有近1/3的企业表示几乎每个月都会有，而几乎所有的受访者认为安全培训能够带来积极的变化。

但该报告的另外几个调查选项的结果却表现得有些“打脸”，有84%的受访者承认，在过去一年中他们是成功的网络钓鱼攻击之下的受害者。而在原因方面也不出人意料——大多都是因为内部员工的行为。最常见的情况就是，员工被网络钓鱼邮件成功欺骗并做出错误的行为，导致数据丢失、将企业信息发送到某个人账户等等。

这一结果也验证了结论——通常的安全培训并没有起到有效减少安全事件的发生。同时可以看到，甚至连定期培训这种长期一贯的方式也没有收获预期的成效。

如何才能提高安全培训的效果，让其体现出应有的价值，并进而影响到整个企业所有人呢？在我们看来，应主要聚焦于两点：

对员工进行安全培训的目的要保持清晰，那就是为了帮助他们在未来面临可能出现的风险是能够做出正确的选择。因此，安全培训应当以结果为考量，而不是在让员工在安全培训的场地中签到就算完成。应当以尽可能接近真实的风险状况去考验培训成果，以确定企业内部人员在经过安全培训之后是否会让自己的行为更加规范，这有这种良性的变化出现，才能认为是有用的。

大体上看，这些行为主要包括能够正确区分邮件类别，并对敏感邮件进行如加密等防护性操作。同时，还会遵循常态化的安全规则，避免落入网络钓鱼邮件陷阱以及和后续可能会出现的一系列人为错误。这些都可以通过测试来确定你的训练是否真的有积极的效果。

一般来说，测试可以分为两种形式：一种是公开组织的，类似于中考、高考，无论如何都是一定要进行的，人们对此也有预期；另一种则是投入在日常的工作之中，在真实场景中通过模拟测试的方式去进行考察。

公开组织的测试必须要有，可以和培训周期进行配套，但不建议培训完成之后马上进行测试，而是间隔一段时间为宜。相比之下，真正需要加强的是在日常中的模拟测试，以观察员工在日常工作当中遭遇风险场景时是否能够按培训内容进行应对，这种方式更能检验培训成果。

这一点也可以被视作为定制式的安全培训，虽然对于所有员工的安全培训是非常重要的，但由于每一个人经历、能力以及在企业内的工作角色不同，为了保证安全培训的效果，我们建议如果有能力最好是根据情况进行分类定制。

比如可以先期用一份通用的安全能力调查问卷来评估所有员工的安全意识水平，然后根据员工的资历和工作角色，确定他们遭受风险的概率和级别，随后进行整体评估，以确定对不同员工群体进行更有针对性的安全培训。

这里可以看出，初期的调查和评估对于后期的培训安全至关重要，这种相对较高成本的针对性安全培训能否起效，关键在于前期调查和评估是否准确，如员工是否存在通过特殊权限在敏感系统或对重要数据等方面引发安全事件风险的可能；员工是否有随意访问各类网络信息（如打开恶意网站或恶意邮件的附件等）的行为；员工对工作账户的口令管理态度是严格还是松懈等等。这些都将有利于准确的评估相关员工应该属于哪一类以及应着重进行哪些方面的安全培训。

尽管这对于管理者而言提升了成本，但从总体来看，员工不会因为被迫接受培训自己已掌握的东西而困倦甚至产生懈怠等消极心态，相信在收获的效果方面也会对应提升。

安全培训的价值和意义不言自明，它对于提升企业整体的安全水平有莫大帮助，但结合近期诸多结构的报告结果，不及预期的居多。因此，还是应当抓住问题的核心——一方面是教育培养，另一方面是实战训练，两方面其实是缺一不可的。

正如每次看到涉及大货车的交通事故内容时，下面总会有一堆人在评论“珍爱生命、远离大货”，但他们知道应该怎么做吗？踩油门超越大货车？那不等于是在快速接近吗，谈何远离？抑或是踩刹车拉开距离，但这是否又会增加被追尾的概率？很多人都知道钓鱼邮件中的东西不能点击，但为什么还会有人做出了错误的操作，也许他们缺的不是意识，而是如何准确区分正常与风险，以及判断接下来应如何做，这些光靠理论教育必然是收效甚微的，如果不通过真实场景下去亲身体会，员工恐怕仍不会真正掌握如何与这类风险对抗，自然也就把企业置于一种潜在风险之下。