關(guān)于選購網(wǎng)絡(luò)安全意識(shí)服務(wù)的幾大原則

（文章來源：首席安全官）

購買安全意識(shí)培訓(xùn)方案的第一步是獲得公司管理層的批準(zhǔn)。從本質(zhì)上講，您需要管理層相信和理解，強(qiáng)大的安全意識(shí)方案是不斷發(fā)展的業(yè)務(wù)所必不可少。無論機(jī)構(gòu)規(guī)模的大小，如果您無法持續(xù)向員工傳遞網(wǎng)絡(luò)安全的最佳做法，就很容易淪為攻擊的受害者。

比例有多高呢？ 超過90％的安全漏洞是由公司員工的人為錯(cuò)誤引起的。好好想想這個(gè)情況吧。你的目標(biāo)是說服公司管理層，投入進(jìn)行安全意識(shí)培訓(xùn)，以保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅的影響，并允許員工在日常進(jìn)行安全決策時(shí)使用批判性思維。

如果您選擇安全意識(shí)培訓(xùn)的第一條標(biāo)準(zhǔn)是價(jià)格最低，您最終將采用員工討厭的方案。想象一下，如果購買一棟房子，您的目標(biāo)是尋找最便宜的房子，而不考慮房屋本身的質(zhì)量。您最終會(huì)為花錢購買，但卻搖搖欲墜的房子而后悔不已。對(duì)于這棟可能倒塌的房子，未來您將需要大量的工作進(jìn)行維護(hù)、管理和投入。安全意識(shí)培訓(xùn)方案對(duì)公司和員工都是一項(xiàng)投資，因此請(qǐng)不要將培訓(xùn)過程視為一種商品。

多數(shù)安全意識(shí)方案都按每位員工的全年費(fèi)用進(jìn)行計(jì)價(jià)。因此，在制定預(yù)算時(shí)，您應(yīng)該有個(gè)大致的規(guī)劃，比如每位員工每年20美元（150元人民幣）。根據(jù)機(jī)構(gòu)的不同需求，這個(gè)數(shù)字會(huì)有一些多少波動(dòng)，機(jī)構(gòu)更多員工參與時(shí)就可能獲得折扣。預(yù)算可能來自IT部門、人事部門、培訓(xùn)預(yù)算等。您甚至可以在不同部門之間共擔(dān)預(yù)算，因?yàn)榘踩庾R(shí)方案涉及保護(hù)整個(gè)機(jī)構(gòu)。

在開展模擬網(wǎng)絡(luò)釣魚時(shí)會(huì)遇到一個(gè)方面是員工的情商。重點(diǎn)是中招模擬網(wǎng)絡(luò)釣魚時(shí)，員工的感覺。大多數(shù)供應(yīng)商會(huì)忽略此步驟，員工會(huì)對(duì)為什么這事發(fā)生在自己身上感到不信任、憤怒和困惑。因此，您需要確保自己選擇的安全意識(shí)合作伙伴，重點(diǎn)關(guān)注網(wǎng)絡(luò)釣魚測(cè)試前后的員工體驗(yàn)。這將使您可以專注于培訓(xùn)網(wǎng)絡(luò)釣魚防御能力較弱的員工，并在整個(gè)教育活動(dòng)中實(shí)施積極的信息傳遞。

在防御網(wǎng)絡(luò)釣魚時(shí)，您希望所有員工都在同一個(gè)團(tuán)隊(duì)中。不要過分考慮網(wǎng)絡(luò)釣魚測(cè)試的技術(shù)方面。重點(diǎn)在于讓機(jī)構(gòu)的每個(gè)人都了解要尋找什么，如何尋找，以及向哪里報(bào)告攻擊。您應(yīng)該能夠要求供應(yīng)商供明確指導(dǎo)，以便成功啟動(dòng)和維持的網(wǎng)絡(luò)釣魚培訓(xùn)計(jì)劃。

您會(huì)如何處理收集的數(shù)據(jù)？您的培訓(xùn)方案將收集有關(guān)員工的大量數(shù)據(jù)。在培訓(xùn)方案中，員工在全年將獲得培訓(xùn)分?jǐn)?shù)、培訓(xùn)完成證書、持續(xù)時(shí)間、下載的內(nèi)容、出勤信息和其他互動(dòng)內(nèi)容。您將需要一個(gè)簡(jiǎn)單的儀表板，以一目了然地展示方案的運(yùn)行情況，深入了解公司需要在哪里進(jìn)行提升。您還需要直接從平臺(tái)中提供審核員和其他合規(guī)數(shù)據(jù)，以展示培訓(xùn)方案的結(jié)果。您將只需要查看和下載報(bào)告，就可一目了然地展示安全意識(shí)方案的狀況。

了解入職計(jì)劃以及啟動(dòng)和運(yùn)行安全意識(shí)計(jì)劃需要多長(zhǎng)時(shí)間。通常情況，您希望選擇一家合作伙伴，可以使你和員工的生活變得簡(jiǎn)單。讓員工能夠快速、輕松地獲得培訓(xùn)內(nèi)容應(yīng)該是方案的目標(biāo)。制定啟動(dòng)戰(zhàn)略和計(jì)劃是成功實(shí)施安全意識(shí)培訓(xùn)方案的關(guān)鍵。要確保所有員工的都能完全了解為什么安全是機(jī)構(gòu)的優(yōu)先事項(xiàng)。

在這時(shí)候，您需要宣布企業(yè)已經(jīng)投資進(jìn)行安全意識(shí)培訓(xùn)，幫助員工學(xué)習(xí)如何免受網(wǎng)絡(luò)威脅。同樣，培訓(xùn)信息的重點(diǎn)需要主要圍繞為何幫助員工了解更多網(wǎng)絡(luò)安全威脅，以及如何防御這些威脅。如果你宣布要開展強(qiáng)制性培訓(xùn)，并將其作為合規(guī)性活動(dòng)，你就不會(huì)得到期望從員工獲得的響應(yīng)和參與。

每個(gè)供應(yīng)商都應(yīng)提供支持，以確保安全意識(shí)方案獲得成功。我們?cè)谶@里并不是僅僅指的是提供功能或故障單的支持，還包括隨著培訓(xùn)方案的推進(jìn)，及時(shí)提供指導(dǎo)和咨詢。您可能出于某種考慮選擇了一家安全意識(shí)合作伙伴，但團(tuán)隊(duì)在如何交付和管理強(qiáng)大的安全意識(shí)方案上，需要獲得基于最佳實(shí)踐的指導(dǎo)。供應(yīng)商有責(zé)任和洞察來監(jiān)督各種行業(yè)的不同安全意識(shí)方案。你需要依靠供應(yīng)商提供幫助，以確保員工從安全意識(shí)培訓(xùn)的投資中獲得最大收益。