什么是安全意识培训？

从广义上讲，可以将安全意识培训视为确保个人理解并遵循某些做法以帮助确保组织的安全。从这个角度来看，安全意识培训几乎一直存在，尤其是当您考虑到军事应用中的安全需求时。

如今，安全意识培训强调信息安全，尤其是网络安全。信息技术的快速进步——以及网络犯罪分子的并行创新——意味着员工和其他最终用户需要定期接受具体培训，以了解如何保持在线安全并保护他们和雇主的信息。

本文介绍了安全意识培训及其重要性：为什么组织使用它，它多年来如何发展，以及它如何帮助减少网络攻击和其他安全漏洞的威胁。最后，我们将介绍一些用于创建有效的安全意识计划的工具。

阅读原文移步知识星球

为什么组织要进行安全意识培训？

网络安全意识培训在最大限度地减少网络钓鱼攻击和社会工程对最终用户造成的严重网络安全威胁方面发挥着关键作用。主要培训主题通常包括密码管理、隐私、电子邮件/网络钓鱼安全、网络/互联网安全以及物理和办公室安全。

正如 Aberdeen Group 的报告“安全意识培训：小投资，大幅降低风险”中所探讨的那样，还有一个用于安全意识培训的商业案例。研究人员与企业安全领导者进行了一次研讨会，以了解他们为何投资于安全意识和培训。

发现：

91% 使用安全意识来降低与用户行为相关的网络安全风险。

64% 使用它来改变用户行为。

61% 使用它来满足监管要求。

55% 使用它来遵守内部政策。

正如这些统计数据所表明的那样，一些组织使用安全意识培训仅仅是因为他们必须遵守外部或内部要求。但根据报告，这种培训也具有经济意义：“对安全意识培训的增量投资导致网络钓鱼攻击的年度风险中位数降低约 50%，年投资回报中位数约为 5 倍。”

安全意识培训的演变

虽然网络安全意识培训的核心概念并不新鲜，但它最近才成为主流意识。其出现的一个迹象是 2004 年启动的国家网络安全意识月。该倡议由国家网络安全联盟和美国国土安全部发起，旨在帮助人们在网上保持更安全和更安全，鼓励定期更新防病毒软件等做法。

从那时起，一年一度的宣传月在其他国家激发了类似的活动，扩大了主题和内容，并吸引了各行各业和政府以及大学、非营利组织和公众的更多参与。

多年来，安全意识培训的重点、方法和有效性发生了重大变化。早在 2004 年，大多数计划都是由合规需求驱动的——只是满足监管要求。如今，这一重点已转移到将网络安全意识培训视为管理和减轻组织风险的一种手段。

一路走来，训练方法本身已经成熟。在 2004 年，占主导地位的模式是年度演示，无论是作为面对面的培训课程还是基于计算机的长期培训。不幸的是，这些冗长、不频繁的会议并不能带来良好的知识保留。逐渐转向针对个别主题的短期、集中培训代表了一种改进，但这些培训仍然很少进行，这使得知识随着时间的推移而消散。

2014 年左右，安全意识培训开始转向持续教育和改进，其中一个计划包括持续的评估和培训周期。最新的发展是“即时”和上下文培训，它增加了启动培训以响应最终用户表现出不良网络安全行为的能力，例如不安全的网页浏览。

培训最终用户的工具

今天，信息安全专业人员使用各种工具来培训最终用户，这可以在我们 的网络钓鱼状态™ 报告中看到。占主导地位的工具——也是一种继续流行的工具——是基于计算机的意识培训。

79% 使用基于计算机的意识培训。

68% 使用网络钓鱼模拟练习。

46% 使用宣传活动（视频和海报）。

45% 使用面对面的安全意识培训。

38% 使用每月通知或时事通讯。

精心设计的培训计划通常会使用其中的几种工具。同样重要的是以系统化、有条理的方式部署这些工具，使您能够随时间跟踪和衡量进度。

我们高效的培训解决方案利用我们的持续培训方法，该方法采用学习科学原则设计，以吸引学习者并改变行为。

通过在卡内基梅隆大学进行的研究，我们采用学习科学原理的方式被证明是有效的。

安全意识培训的有效性

我们自己的案例研究和结果快照显示了有说服力的结果：

95%

在两年的时间里，一家金融机构记录的恶意软件和病毒减少了 95%，并且对网络安全威胁有了更高的认识。

90%

美国东北部的一所大学报告称恶意软件和病毒显着减少，成功的网络钓鱼攻击减少了 90%，支持请求显着减少，报告事件和攻击的用户数量增加，以及对安全问题的认识提高。

89%

一家员工福利组织利用我们的评估和教育模块作为其安全意识和培训计划的核心组成部分，将网络钓鱼的敏感性降低了 89% 以上。

80%

安全意识培训帮助市政府员工在一年内将平均点击率降低了 80%，并避免了复杂的电汇欺诈攻击。

创建安全意识培训计划

培训员工与网络安全专家采取了独特的策略。用户不是网络安全专家，因此他们需要以一种引人入胜的方式向他们提供信息，以帮助他们可视化和理解网络钓鱼。

你的安全意识计划应该有几个特点：

内容：内容应该易于一般观众消化和理解，并以有组织的方式提供信息，例如章节和课程。

行政支持：行政人员负责确保用户遵循程序，因此培训材料应该包含可以跨部门分发的内容。

频繁的程序更新：网络安全形势发生变化，因此程序内容也应该改变。每年都应审查和更新内容，以涵盖最新的威胁。

测试：使用真实世界的网络钓鱼电子邮件和社会工程场景测试用户将帮助他们识别威胁。示例练习应该模拟真实世界的攻击。

报告：与测试集成，报告将告诉管理员谁点击了链接并提交了敏感数据。这些报告将确定需要额外培训的员工。

调查：培训结束后，将调查问题发送给经理、主管和员工，以便他们提供反馈以进行改进。

组织和开展安全培训的方式将决定其有效性。需要针对内容编写和组织方式的策略。开发示例模型：

10% 正式：虽然是企业培训，但正式内容应该是培训材料中最少的部分。正式的内容可能难以阅读或难以消化，但它对于特定的事实和示例可能很重要。

20% 非正式：网络研讨会、视频和协作等非正式内容更能吸引用户。这些内容不应该是大多数培训资源，但它可以比正式的更能帮助用户更好地理解概念。

70% 真实体验：本节的内容应根据组织的文化和经验进行定制。此类内容通常由第三方开发，以便所有员工都能从培训中获得最大收益。

培训材料中包含的内容应该是信息，但也应该针对从未经历过网络钓鱼攻击的人。即使您有一些在该主题上受过更多教育的人，它也应该迎合初学者。它应该足够吸引用户，让用户想要进一步挖掘细节并了解更多信息。培训是为了让人们建立一项技能，而这项技能是为那些不知道攻击者针对企业发起活动的多种方式的用户检测网络钓鱼和社会工程。他们甚至可以学习保护他们的个人帐户免受网络钓鱼和社会工程的侵害，因此用户可以从公司安全培训中获得额外的好处。

原文始发于微信公众号（河南等级保护测评）：网络安全知识：什么是安全意识培训