隨著網(wǎng)絡(luò)安全形勢的日漸嚴(yán)峻，企業(yè)也受到各種安全因素的威脅，對于企業(yè)而言，企業(yè)員工安全意識培訓(xùn)一直被認(rèn)為是合規(guī)性的可選活動，但并不一定是保護(hù)企業(yè)資產(chǎn)的有效策略。

然而，在充滿質(zhì)量安全意識培訓(xùn)產(chǎn)品的競爭激烈的市場，一位專家稱，企業(yè)安全管理人員應(yīng)該重新思考他們對用戶意識培訓(xùn)的看法。

研究公司Gartner這個月發(fā)布了第一個安全意識培訓(xùn)供應(yīng)商魔力象限，該報告分析了來自19個最大安全意識培訓(xùn)供應(yīng)商的產(chǎn)品。重量級供應(yīng)商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名，還有令人驚訝的大批初創(chuàng)培訓(xùn)機構(gòu)。總而言之，該Gartner報告中的供應(yīng)商的總體年收入約為6.5億美元。

該報告作者同時也是Gartner研究副總裁Andrew Walls表示，在這個Gartner研究中不能看到的是，成千上萬的利基培訓(xùn)供應(yīng)商，這些供應(yīng)商在適當(dāng)?shù)那闆r下可以像大型供應(yīng)商一樣提供有用的產(chǎn)品。例 如，如果一家小型培訓(xùn)供應(yīng)商旨在美國辛辛那提地區(qū)運營，并且其客戶好評如潮，辛辛那提的企業(yè)應(yīng)該考慮這家本地供應(yīng)商是否滿足其企業(yè)的需求。

Walls表示，“他們沒有在俄亥俄州之外提供培訓(xùn)服務(wù)其實并不重要。”

他指出，世界各地有很多這樣的供應(yīng)商，他們僅在一個地區(qū)提供培訓(xùn)服務(wù)，例如北京或者倫敦，或者有的供應(yīng)商近提供特定語言的安全意識培訓(xùn)，這在印度這樣的國 家就很普遍。當(dāng)同時考慮這些大型和小型供應(yīng)商時，其結(jié)果是，這個培訓(xùn)市場的年收入已經(jīng)超過10億美元，并且根據(jù)有限的市場數(shù)據(jù)，這個市場每年大約增長13%。

安全意識培訓(xùn)拐角

Walls承認(rèn)，盡管長期以來很多企業(yè)認(rèn)為員工意識培訓(xùn)根本沒有作用，但安全意識培訓(xùn)市場正在蓬勃發(fā)展。

他表示，這種態(tài)度在很大程度上是源于企業(yè)過去的錯誤，企業(yè)通常利用內(nèi)部安全團(tuán)隊來制定安全培訓(xùn)計劃。雖然來自內(nèi)部安全專家的意見對于高質(zhì)量培訓(xùn)很重要，但Walls稱，這種DIY培訓(xùn)課程往往沒有包含關(guān)鍵因素：教學(xué)設(shè)計人員和其他培訓(xùn)專家。

“有效的教育并不是簡單的事情，這需要非常了解你的受眾，以及你如何衡量教學(xué)成效，”Walls表示，“在這個行業(yè)中，在安全教育的歷史完全忽略了這些，它并沒有擔(dān)心效果；并沒有考慮這是否有效。”

“從而導(dǎo)致大家普遍認(rèn)為，安全培訓(xùn)并不值得花時間和金錢，”Walls繼續(xù)說道，“這是責(zé)備工具的經(jīng)典綜合征，錯在于你，而不是受眾。”

安全意識培訓(xùn)：不只是為了合規(guī)

盡管如此，現(xiàn)在越來越多的企業(yè)正在轉(zhuǎn)向安全培訓(xùn)來解決各種安全和業(yè)務(wù)問題。

原因之一在于，在企業(yè)環(huán)境中，攜帶自己設(shè)備到工作場所（BYOD）趨勢的日益流行讓設(shè)備可以繞過或者無視很多企業(yè)用于保護(hù)臺式機和筆記本電腦的經(jīng)過檢驗而可靠的技術(shù)控制。這樣一來，攻擊者和敏感企業(yè)數(shù)據(jù)之間的唯一障礙可能是企業(yè)對使用BYOD手機的安全最佳做法的知識。

Walls認(rèn)為，另一個因素是影響著各種規(guī)模和各行各業(yè)的企業(yè)的數(shù)據(jù)泄露事故浪潮。面對數(shù)據(jù)泄露事故問題，企業(yè)可以部署盡可能多的技術(shù)，但如果員工仍然會打開釣魚郵件，培訓(xùn)就成為一種必然。

Walls表示，企業(yè)還關(guān)注數(shù)據(jù)泄露事故相關(guān)的“聲譽問題”。例如，在零售商Target和Home Depot公司遭遇大規(guī)模數(shù)據(jù)泄露事故后，這兩家公司飽受批評，有消息稱這兩家公司的安全程序都存在嚴(yán)重的人員和技術(shù)失誤。

在看到這樣的數(shù)據(jù)泄露事故時，企業(yè)通常擔(dān)心面對來自客戶和股東的類似批評—關(guān)于員工沒有受到適當(dāng)?shù)呐嘤?xùn)。

Walls表示：“企業(yè)想要能夠證明他們已經(jīng)教授其員工所有這些內(nèi)容，以及員工具有相關(guān)技能。”

選擇安全意識培訓(xùn)供應(yīng)商

面對市場中數(shù)以千計的安全意識培訓(xùn)供應(yīng)商，以及進(jìn)入Gartner魔力象限的近20家供應(yīng)商，企業(yè)可能想知道哪家最好。盡管Gartner魔力象限將某些 供應(yīng)商標(biāo)注為“領(lǐng)導(dǎo)者”或者“遠(yuǎn)見者”，Walls強調(diào)，對于培訓(xùn)，并沒有“最佳供應(yīng)商”，只有滿足具體要求的合適的供應(yīng)商。

Walls表示，企業(yè)必須認(rèn)識到，從性質(zhì)來看，安全培訓(xùn)應(yīng)該對目標(biāo)受眾進(jìn)行定制化。客戶服務(wù)員工可能適合一年兩次的基于計算機的培訓(xùn)模式，而首席執(zhí)行官和其他高管則更適合通過其他培訓(xùn)方法獲取知識。

考慮到這一點，Walls建議，企業(yè)應(yīng)該看看哪些供應(yīng)商提供特定主題的培訓(xùn)（可以是針對特定行業(yè)，或者特定監(jiān)管要求，例如HIPAA或者反釣魚），然后蘋果可用的培訓(xùn)模式來確定是否滿足企業(yè)員工培訓(xùn)需求。

“這可能是具有高互動性的過程，供應(yīng)商可能會送他們一本書，但企業(yè)必須要自己進(jìn)行分析，”Walls指出，很多他知道的企業(yè)選擇多個供應(yīng)商來滿足不同的需求。“如果你是在印度尼西亞和新澤西州運營的跨國企業(yè)，你不能給每個人都安排相同的培訓(xùn)。”

除了事前評估企業(yè)的需求，在選擇培訓(xùn)供應(yīng)商需要考慮的另一個重要因素是提供的評估服務(wù)。有些供應(yīng)商可能提供簡短培訓(xùn)視頻，緊接著是一個測試來幫助企業(yè)遵守法律法規(guī)，但Walls強調(diào)這些方法并不能提高企業(yè)的安全態(tài)勢。

企業(yè)應(yīng)該確定培訓(xùn)供應(yīng)商提供持續(xù)的評估服務(wù)。Walls表示，反釣魚供應(yīng)商（例如Wombat、PhishMe和PhishLine）在近年來頗為流行，不僅因為網(wǎng)絡(luò)釣魚攻擊給企業(yè)構(gòu)成巨大威脅，而且因為這些供應(yīng)商客戶真正證明釣魚預(yù)防培訓(xùn)服務(wù)的有效性。

“他們會發(fā)送附有連接的郵件給你，如果你點擊它，你就要繼續(xù)回去參加輔導(dǎo)培訓(xùn)，”Walls表示，“持續(xù)的評估構(gòu)建在員工實際操作的根本性質(zhì)中。”

Walls預(yù)計，在未來幾年我們會看到較大型培訓(xùn)供應(yīng)商之間的大量整合。有些較大型安全供應(yīng)商會考慮進(jìn)行收購，以整合安全意識培訓(xùn)到更大的產(chǎn)品組合中，而PhishMe和Wombat等供應(yīng)商已經(jīng)與其他安全公司建立了合作伙伴關(guān)系。他補充說，反釣魚供應(yīng)商可能會受到影響，因為其產(chǎn)品的獨特性被削弱。

Walls總結(jié)道，未來市場整合活動對于行業(yè)是利好消息，因為培訓(xùn)會被視為合法的必須具備的企業(yè)安全工具。

D1Net評論：

對員工進(jìn)行安全意識培育的重要性是可想而知的，但是，如果你不讓員工了解你的政策，你不要指望他們會遵循政策，企業(yè)應(yīng)該將其視為基本要素，就像在臺式機部署反惡意軟件。