82%以上的網絡攻擊都歸咎于人為錯誤，內部人員的錯誤為網絡攻擊者提供了更多成功的機會，他們所犯的錯誤可以在企業的業務安全與災難之間產生巨大的差異。因此，企業中的每個人都需要理解并接受這個現實。

 

與所有非技術性的挑戰一樣，不同的方法將適用于不同的利益相關者。對于專注于資源分配的企業高管來說，除了為網絡安全意識培訓項目的成功編制明確的關鍵績效指標之外，將網絡攻擊的破壞能力與網絡安全意識培訓的成本效益進行比較也是很重要的。

 

對于更廣泛的員工隊伍，首席信息安全官和團隊領導者可以闡明網絡安全意識的價值，并指出這是一個專業發展機會，也是一種展示員工如何維護企業安全來增強自身能力的方式。網絡安全意識培訓旨在確保長期的行為改變，這意味著為所有利益相關者提供正確的激勵。

 

由于網絡安全涉及到每個人工作的更多方面，擁有一個知道如何建立和維護利益相關者對網絡安全意識培訓計劃支持的安全領導團隊至關重要。更重要的是，人們親眼目睹了企業獲得的一些成功，這些企業的思維從把網絡安全意識培訓作為IT孤島中的事物轉變為將其視為文化的核心成分。正確了解網絡安全的定位是至關重要的，鼓勵那些積極通過定期培訓來降低風險的人員，首席信息安全官需要有直接的洞察力和指標來跟蹤員工在網絡安全培訓方面的進展。

 

 

隨著企業增加對網絡安全團隊的投資，有必要為網絡安全意識培訓的采用和遵守提出清晰而令人信服的理由。要做到這一點，最可靠的方法之一是強調網絡攻擊將會為企業帶來慘重的損失。根據IBM公司發布的一份研究報告，全球各地的企業在2022年遭遇數據泄露事件造成的損失達到了平均435萬美元，并創歷史新高。在美國，這一數字高達944萬美元，是世界各國中最高的。在IBM公司的調查中，83%的企業表示他們以前曾經遭到網絡攻擊。

 

一些代價最高和最常利用的攻擊載體直接涉及員工：典型的網絡釣魚攻擊在2022年造成了平均491萬美元的經濟損失，被盜或受損憑證的網絡攻擊造成的損失平均達到450萬美元。

 

對于企業來說，阻止這些網絡攻擊的培訓成本相對便宜，只要具有網絡安全意識的員工阻止一次網絡攻擊就會帶來積極的投資回報。根據IBM公司的調查，對于擁有網絡安全培訓計劃的企業來說，遭到網絡攻擊造成的財務影響不那么嚴重。

 

 

網絡攻擊對企業造成的損失不僅僅是經濟上的。IBM公司在調查中還發現，識別和遏制網絡攻擊需要一段時間：發現漏洞平均需要207天，修補漏洞需要70天。運營部門主管很容易地理解在七個月的時間里可能會丟失多少敏感數據，多花兩個多月的時間和費用修補漏洞，也將影響企業的業務。

 

更重要的是，企業在遭到網絡攻擊之后可能面臨嚴重的聲譽損失。用戶關心個人信息安全，這也延伸到了他們與企業的互動方式。Arcserve公司日前發布的一份調查報告發現，59%的消費者表示他們會避免與在過去一年中經歷過網絡攻擊的企業合作，光是這個數字就足以讓企業的首席營銷官和銷售主管相信網絡安全意識培訓是值得的。

 

這些都是企業建立一個強大的網絡安全意識培訓計劃的令人信服的理由，尤其是在企業面臨經濟逆境時，他們越來越關注網絡攻擊帶來的損失。網絡安全意識培訓不僅可以幫助企業避免網絡攻擊造成的毀滅性損失，還可以防止消費者由于企業遭到網絡攻擊而失去信任，并確保員工能夠適應不斷變化的網絡威脅形勢。

 

 

即使企業的領導團隊支持網絡安全意識培訓計劃，仍然需要獲得員工的大力支持。很多人對網絡安全最普遍的誤解是，確保網絡安全完全是IT團隊和安全團隊的責任，這些團隊擁有許多員工不具備的特定技術。這種誤解導致一些員工有一種無力感，他們覺得自己受網絡罪犯擺布，而并不認為保護自己的信息安全也是他們的責任。

 

犯這種錯誤的不僅僅是員工，部門經理和企業高管也經常堅持認為網絡安全超出了他們的范圍，這意味著他們同時增加了自己被黑客攻擊的幾率，并為團隊成員樹立了一個不良的榜樣。

 

任何網絡安全意識培訓項目的首要任務都是消除這些幻想，向企業的每個人展示他們不僅有能力防止網絡攻擊，而且有責任這樣做。但這種策略不能以無聊的講座、PowerPoint演示文稿或大量電子郵件的形式表現出來。讓員工加入企業的網絡安全意識培訓計劃的唯一方法是讓他們充分投入到學習過程中，通過高度參與以及培訓相關內容，確保可持續的行為改變。

 

當涉及到網絡安全意識培訓課程時，有幾種方法來理解“相關性”。首先，培訓內容應該基于真實世界的網絡攻擊和阻止網絡攻擊的策略。其次，在員工獨特技能和學習風格的基礎上實現個性化。第三，應該使用講故事和游戲化等策略，這將給員工關注的理由。網絡安全意識培訓就是要提供正確的激勵措施來保持參與度，而且這些激勵措施必須在企業內部具有說服力。

 

 

有效的網絡安全意識培訓計劃的最終目標是使網絡安全成為從上到下的企業文化的一部分。網絡安全意識不應該只是員工、部門經理和企業領導者在參與網絡安全意識培訓內容或明確討論工作場所的網絡安全時才考慮的事情。應該告知他們所做的一切，從他們如何使用數字資源到如何與同事溝通和合作。

 

廣泛的利益相關者支持是創建網絡安全文化的先決條件，因為這一過程需要企業中每個人的持續承諾。這就是強有力的激勵至關重要的地方。提高敬業度和保留率的最佳方法之一是打開一個新的窗口，也就是向員工展示企業及其領導層關心他們個人的職業發展，提供機會培養他們的網絡安全意識就是其中一種方法。還可以通過鼓勵和獎勵健康行為來幫助企業關注問責制。企業可以使用許多工具來維持問責制，例如網絡釣魚測試和對員工優勢和劣勢的個性化評估，這些工具可以開辟關于改進領域的溝通渠道。

 

如今，網絡威脅在不斷發展，因為黑客正在不斷地測試企業的防御措施，并設計新的方法來利用漏洞。企業員工通過培訓可以了解最新的網絡犯罪策略，并利用這些知識來保護業務安全。然而，網絡犯罪分子仍然只需要一個單一的入口點就可以進行網絡攻擊，這也讓企業清醒地認識到，實施網絡安全意識培訓計劃需要利益相關者的全面支持。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。