在防范網(wǎng)絡(luò)犯罪的進(jìn)程中，企業(yè)員工正在迅速發(fā)展成為最薄弱的一環(huán)：常識(shí)只能保證我們走完一程，僅此而已，而且還要確保圍繞安全所采取的最佳實(shí)踐不被當(dāng)作耳旁風(fēng)，左耳進(jìn)右耳出。不論是員工無(wú)意間所犯的錯(cuò)誤，還是其已被黑客鎖定并通過(guò)他們來(lái)獲取敏感信息，員工一旦犯錯(cuò)都可以輕易地為惡意軟件和信息竊取大開方便之門。

[[201868]]

攻擊成功通常是因?yàn)檫M(jìn)程不暢和利用人為的傾向。為了減少企業(yè)的威脅面，需要將定期員工培訓(xùn)的重點(diǎn)從反應(yīng)轉(zhuǎn)向防御。在員工安全培訓(xùn)中，純粹的以合規(guī)為導(dǎo)向的方法已被證明對(duì)企業(yè)無(wú)效，這種枯燥的培訓(xùn)方式已經(jīng)不足以激發(fā)員工的想象力。企業(yè)應(yīng)側(cè)重教育員工如何保護(hù)他們的個(gè)人資料，從而鼓勵(lì)員工在工作場(chǎng)所采取進(jìn)一步的安全導(dǎo)向的做法。

可以采取多樣化的員工培訓(xùn)方式，其中便包括日益流行的“游戲化”網(wǎng)絡(luò)安全教育項(xiàng)目。游戲化指的是將游戲機(jī)制運(yùn)用于非游戲情境當(dāng)中，利用游戲中某些令人興奮的元素，將其應(yīng)用到其它類型的不那么有趣的活動(dòng)當(dāng)中。由于引入了競(jìng)爭(zhēng)和獎(jiǎng)勵(lì)等元素，游戲化項(xiàng)目日益受到大眾歡迎，在各個(gè)行業(yè)被廣泛采用。

目前，有不少企業(yè)將游戲化項(xiàng)目應(yīng)用于實(shí)踐以提升績(jī)效和積極性，包括客戶參與和員工教育及培訓(xùn)。其中，游戲元素包括一對(duì)一競(jìng)賽和獎(jiǎng)勵(lì)計(jì)劃等。

如何以游戲化的方式來(lái)解決所在企業(yè)的安全問題，以下兩種關(guān)鍵方法可供企業(yè)管理者采用：

增強(qiáng)培訓(xùn)趣味性，提升員工參與度

游戲化項(xiàng)目可助力企業(yè)以多種方式提升網(wǎng)絡(luò)安全性，比如，向員工展示避免網(wǎng)絡(luò)攻擊的技巧以及學(xué)習(xí)如何甄別軟件漏洞。全球咨詢公司普華永道通過(guò)其“威脅游戲”來(lái)傳授網(wǎng)絡(luò)安全知識(shí)。高管們?cè)诂F(xiàn)實(shí)世界的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行對(duì)抗，扮演攻擊者和捍衛(wèi)者的角色。攻擊者選擇攻擊的策略，方法和技能，而捍衛(wèi)者制定(防御)戰(zhàn)略，投入正確的技術(shù)和人才來(lái)應(yīng)對(duì)攻擊。該款游戲讓高管們了解了如何準(zhǔn)備和應(yīng)對(duì)威脅，公司的準(zhǔn)備情況以及他們的網(wǎng)絡(luò)安全團(tuán)隊(duì)每天需要面對(duì)的問題。

游戲化有利于增強(qiáng)員工培訓(xùn)的趣味性，提升員工參與的積極性，提高員工對(duì)網(wǎng)絡(luò)安全實(shí)踐的認(rèn)識(shí)，其中便包括如何正確處理攻擊。

提供獎(jiǎng)勵(lì)來(lái)鼓勵(lì)良好行為

大多數(shù)安全漏洞皆由人為失誤所致，這是因?yàn)閱T工要在規(guī)定期限內(nèi)盡量快地完成工作，往往會(huì)忽視公司相關(guān)安全的重要政策。

例如，開展一種稱為“來(lái)釣我”(PhishMe)的活動(dòng)便是培訓(xùn)員工電子郵件安全的一個(gè)行之有效的途徑，這包括定期在企業(yè)內(nèi)發(fā)送釣魚郵件，對(duì)員工的反應(yīng)以及行動(dòng)進(jìn)行測(cè)試。

游戲化使得企業(yè)能夠?qū)δ切┳袷匕踩鞒毯蛨?jiān)持正確安全指導(dǎo)方針的員工予以獎(jiǎng)勵(lì)，此舉將促進(jìn)良好行為的進(jìn)一步養(yǎng)成。這種游戲化活動(dòng)可以表現(xiàn)為，授予員工徽章或積分點(diǎn)數(shù)形式，在積分板上進(jìn)行展示，從而形成整個(gè)辦公室你追我趕的局面。在某些企業(yè)，如果有員工達(dá)到一定要求后，他們會(huì)獲得一份諸如禮券之類的物質(zhì)獎(jiǎng)勵(lì)。

此外，該系統(tǒng)還有助于發(fā)現(xiàn)那些在游戲化活動(dòng)中表現(xiàn)不佳的人員，從而完成更進(jìn)一步的網(wǎng)絡(luò)安全培訓(xùn)。

當(dāng)員工表現(xiàn)良好時(shí)，對(duì)其認(rèn)可并予以獎(jiǎng)勵(lì)，能夠促使他們更加積極工作，激勵(lì)其采取安全措施，創(chuàng)造更加安全的網(wǎng)絡(luò)工作環(huán)境。

任何一個(gè)以安全意識(shí)為主的培訓(xùn)，其核心便是教育員工要對(duì)他們?cè)诠ぷ髦兴幚淼臄?shù)據(jù)以及他們?cè)诩覄?chuàng)建和使用的數(shù)據(jù)負(fù)有同等責(zé)任感。所有圍繞安全意識(shí)進(jìn)行的活動(dòng)都應(yīng)該保持持續(xù)性，而非一次性行動(dòng)。不論企業(yè)規(guī)模是大是小，領(lǐng)導(dǎo)者有時(shí)可能會(huì)覺得他們?nèi)狈τ行У哪軌蛲苿?dòng)網(wǎng)絡(luò)安全教育活動(dòng)所需的資源，其實(shí)這種活動(dòng)也可以以經(jīng)濟(jì)實(shí)惠的方式來(lái)進(jìn)行。

視覺材料有助于工作的開展。從一些小視頻，海報(bào)和/或競(jìng)賽開始，讓每一位員工都能抓住重點(diǎn)信息，那就是確保安全是每個(gè)人的責(zé)任。

“下馬威”戰(zhàn)術(shù)不起作用了。企業(yè)的目的是要網(wǎng)絡(luò)安全在員工中形成共識(shí)和文化，因此需要將企業(yè)的這種游戲化活動(dòng)視作一種市場(chǎng)活動(dòng)，其目的是說(shuō)服員工改變其行為。

言簡(jiǎn)意賅，效果最好。長(zhǎng)電子郵件總是被忽略。保持郵件的簡(jiǎn)短和有趣，同時(shí)要注重采用上行下效的方法，即員工總是在效仿他們的領(lǐng)導(dǎo)，如果領(lǐng)導(dǎo)都不重視網(wǎng)絡(luò)安全文化，那又怎么能要求其員工也重視呢?這種做法的目的是教育員工采用最佳實(shí)踐，而不是逼迫他們成為安全專家。所以要保證這種方式有趣，能夠博人一笑，這樣確保每個(gè)人可以在同一時(shí)間對(duì)其形成深刻了解。

強(qiáng)化和跟進(jìn)是關(guān)鍵。培訓(xùn)是一個(gè)持續(xù)的過(guò)程，要做到向那些行之有效的方法學(xué)習(xí)，必要時(shí)接受再教育。要重新對(duì)你的新老員工進(jìn)行測(cè)試，檢查他們是否會(huì)落入釣魚郵件的圈套，檢查有哪些員工仍舊對(duì)假冒郵件難辨真?zhèn)?。鼓?lì)員工就虛假信息及時(shí)溝通和通報(bào)，鼓勵(lì)落后部門向先進(jìn)看齊。我們的目的不是讓單個(gè)員工拔尖，而是在企業(yè)內(nèi)部形成健康有序的競(jìng)爭(zhēng)機(jī)制。

盡管消除業(yè)務(wù)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)需要一個(gè)持續(xù)的過(guò)程，但這些風(fēng)險(xiǎn)是可以進(jìn)行管理的。我們需要一套行之有效的方法，鼓勵(lì)員工有疑問便能夠說(shuō)出來(lái)，如有必要提供再教育。如果有員工還未接觸安全意識(shí)項(xiàng)目，但卻在點(diǎn)擊惡意軟件之前就能提出疑問，就說(shuō)明您已經(jīng)掃除了障礙，從而使網(wǎng)絡(luò)環(huán)境變得更加安全了。