企業(yè)很難讓員工參加網(wǎng)絡(luò)安全意識培訓(xùn)，往往不得不強制員工遵守。持續(xù)不斷的財務(wù)緊張影響著所有企業(yè)，這也意味著規(guī)模較小的團隊需要更多工作，這些團隊需要時間來完成非常乏味的培訓(xùn)。解決方案是重新設(shè)想這些計劃，把重點放在更頻繁但持續(xù)時間更短的培訓(xùn)上，獎勵員工，避免點名和羞辱，并幫助他們理解這不僅有助于他們目前的工作，也有助于他們在家里和未來的工作。

以下是你目前的培訓(xùn)沒有效果的八個原因，以及企業(yè)應(yīng)該考慮什么才能讓它更具吸引力。

1、調(diào)整網(wǎng)絡(luò)安全培訓(xùn)的方法是打破常規(guī)

Security Innovation的首席執(zhí)行官Ed Adams表示，讓培訓(xùn)變得有效的“更好方法”是讓人們表現(xiàn)得像攻擊者，模仿復(fù)雜、快速演變的網(wǎng)絡(luò)攻擊世界，特別是在軟件安全方面，他指出，根據(jù)該公司與波內(nèi)蒙研究所的2023年研究，包括現(xiàn)實模擬在內(nèi)的網(wǎng)絡(luò)安全培訓(xùn)項目可以提供更高的投資回報率。

像這樣的培訓(xùn)計劃可能包括任務(wù)、挑戰(zhàn)——例如破壞訪問控制——競賽，以及帶有補充實驗室和課程的排行榜，以評估能力并最大限度地提高學習和協(xié)作能力。他告訴記者：“能夠看到數(shù)據(jù)被盜和欺詐性交易形式的攻擊的含義，將漏洞從理論問題轉(zhuǎn)變?yōu)閷嶋H問題?！?/p>

他的建議是，根據(jù)一個人的角色和他們的技術(shù)平臺量身定做培訓(xùn)。他說：“有了模塊化的安全課程，就更容易將安全概念分解成針對特定角色的可互換的核心組成部分。在這種方法中，培訓(xùn)必須具有參與性和情境性，以確保掌握，同時跟上安全團隊面臨的最新威脅?！?/p>

培訓(xùn)計劃還需要定期更新，并不斷更新最新的威脅情報。Adams說：“沒有什么比每年提供一次過時的內(nèi)容更能告訴人們你不把培訓(xùn)當回事?！彪m然你不能強迫人們吸收他們不想要的知識，但強制性培訓(xùn)也可以是激勵的，但加強為什么要建立以安全為重點的文化至關(guān)重要。

自定進度的學習對于擴展知識和靈活性也很重要，融入親密的生活環(huán)境可以建立團隊合作。“這就是為什么由講師指導(dǎo)的團隊意識活動是有效的，即使是遠程的。培訓(xùn)培訓(xùn)師或?qū)W徒計劃的選項對于組織的成熟和認同至關(guān)重要。接受‘自己人’的培訓(xùn)會帶來新的視角，并增加傾聽和學習的意愿。”

2、要想使培訓(xùn)有效，需要重視安全文化

馬里蒙特大學(Marymount University)兼職教授、網(wǎng)絡(luò)醫(yī)生(Cyber Doctor)創(chuàng)始人Stephen Boyce表示，CISO可能會錯過的是，在網(wǎng)絡(luò)安全培訓(xùn)中超越以復(fù)選框合規(guī)為重點的方法。

要使企業(yè)的安全文化成熟，需要更多的預(yù)算和人力資源。Boyce告訴記者：“除了技術(shù)人才，企業(yè)還應(yīng)該用非傳統(tǒng)背景的人才來支持他們的員工隊伍，比如人的因素、心理學和安全專業(yè)人員?！?/p>

每個企業(yè)都有或缺乏安全文化，隨著時間的推移，隨著時間的推移，有了專門的資源，這種文化應(yīng)該會成熟，就像它的網(wǎng)絡(luò)安全計劃一樣。他說：“一個企業(yè)的網(wǎng)絡(luò)安全計劃的影響力取決于該企業(yè)的安全文化，以及它是否使用了多種交付方法，將員工不同的學習風格結(jié)合在一起。”

他說：“一些企業(yè)使用不同的交付方法，根據(jù)個人的風險狀況而不是他們的職稱或部門來定制他們的培訓(xùn)計劃，這需要他們員工的個人基線來了解每個員工的風險狀況。然后進行持續(xù)評估，以了解他們在應(yīng)對當前威脅時的優(yōu)勢和劣勢，從而提供與員工相關(guān)的有意義的培訓(xùn)?！?/p>

但Boyce認為，這種做法未來需要改變?！敖裉斓陌踩嘤?xùn)和教育項目是由數(shù)字移民為數(shù)字移民設(shè)計的，然而，隨著勞動力人口結(jié)構(gòu)的持續(xù)變化和數(shù)字原住民在勞動力中的主導(dǎo)地位，企業(yè)會發(fā)現(xiàn)他們一貫的做法不再那么有效?！?/p>

他說：“一些培訓(xùn)項目正在提供可以從一個雇主轉(zhuǎn)移到另一個雇主的數(shù)字徽章，使企業(yè)能夠在未來員工開始工作日期之前確定他們的基線，并將培訓(xùn)項目與人力資源系統(tǒng)聯(lián)系起來。”

3、該行業(yè)需要一種不同的方式來衡量人類風險

“為什么它很糟糕?AwareGO的聯(lián)合創(chuàng)始人兼研發(fā)主管Ragnar Sigurdsson表示：“它太長了，太技術(shù)了，安全管理員太依賴釣魚模擬了?！彼J為，網(wǎng)絡(luò)培訓(xùn)應(yīng)該是愉快的，但也是小規(guī)模的;保持培訓(xùn)視頻不超過兩分鐘，使用演員而不是卡通，并利用廣告行業(yè)的技巧，以一種更快、更吸引人的方式傳達有關(guān)威脅的信息?！叭藗兒芸炀蜁ヅd趣，如果他們覺得自己的時間被浪費了，他們就會開始憎恨培訓(xùn)，不會參加培訓(xùn)，”Sigurdsson說。

他說：“幾十年來，公司一直依靠網(wǎng)絡(luò)釣魚模擬來告訴他們公司在網(wǎng)絡(luò)安全方面的立場，這些測試確實讓你對自己的風險狀況有了一些了解，但只在一個方面(他們點擊了還是沒有點擊)，即使這樣，信息也不是那么好，它們不會顯示人們是否忽視了這封電子郵件，如果他們轉(zhuǎn)發(fā)了它，他們是如何決定它是安全的還是不安全的等等，這些都是非常重要的信息，安全管理員應(yīng)該想知道這些信息，以便他們能夠補救真正的問題?！彼f。

眾所周知，釣魚模擬也會對員工產(chǎn)生負面影響，因為它們會讓人們在使用真實組織的域時失敗，這使得釣魚電子郵件幾乎不可能被發(fā)現(xiàn)。Sigurdsson說：“這導(dǎo)致員工惡意合規(guī)，聲稱公司的每一封電子郵件都是釣魚郵件，不回復(fù)電子郵件或會議請求。”

我們需要一種不同的方法來衡量人類風險。不是標準化的問卷調(diào)查或網(wǎng)絡(luò)釣魚模擬，而是針對多個威脅領(lǐng)域的獨立和互動評估方案，每個方案都揭示了不同水平的知識和行為。Sigurdsson傾向于從人類風險評估開始，然后使用該評估來建立具有相關(guān)主題的培訓(xùn)計劃。

將獎勵和游戲化結(jié)合起來有助于激勵和一些良性競爭。此外，最好是向員工提供分數(shù)和關(guān)于他們正確答案和錯誤答案的信息，而不是簡單地說“不及格”。Sigurdsson補充道：“并為得分最高的員工提供獎勵，并在不同地點或部門內(nèi)建立排行榜?！?/p>

他認為，還有必要在內(nèi)部“推銷”網(wǎng)絡(luò)安全培訓(xùn)計劃，以幫助買入。他說：“宣傳得不好的安全項目很少能獲得成功。倡議背后需要一個平易近人的人;部門負責人和中層管理人員需要全力以赴并給予支持，才能獲得一些吸引力?！焙玫某煽儜?yīng)該得到表揚和吶喊，而差的成績必須通過訓(xùn)練來補救，不能責備或羞愧。他說：“安全計劃不能是來自最高層的指令，而是作為從首席執(zhí)行官到看門人的所有人的共同責任?！?/p>

4、游戲化和在實踐中學習

Skill able執(zhí)行主席兼聯(lián)合創(chuàng)始人Corey Hynes表示，游戲化在安全領(lǐng)域尤其奏效，參與者喜歡展示知識和技能。安全游戲，如攻擊/防御、奪旗和紅色對藍色，始終實現(xiàn)更高的參與率，產(chǎn)生更好的學習結(jié)果和技能獲得。根據(jù)Hynes的說法，當單獨完成排行榜時，排行榜是激勵學習的一個很好的工具。

Hynes說：“將游戲化納入培訓(xùn)計劃，并不需要很復(fù)雜才能有效。復(fù)雜的計分卡或復(fù)雜的自動化和評分可能是不必要的。然而，將人們放在同伴小組中，由能夠管理互動和促進良性競爭的教練或協(xié)調(diào)員監(jiān)督，可能是非常有效的?！彼J為，太多的節(jié)目依賴于“邊看邊學”，而沒有給予“邊做邊學”足夠的重視。

在未來，隨著攻擊變得更加復(fù)雜和頻繁，通常得益于GenAI的進步，Hynes認為，企業(yè)必須讓人們準備好在第一時間做出快速而正確的反應(yīng)。“要為這個現(xiàn)實做準備，你需要的不僅僅是閱讀或觀看視頻。”

5、摒棄一刀切的做法

NINJIO網(wǎng)絡(luò)安全意識培訓(xùn)的首席執(zhí)行官Shaun McAlmont表示，將課程個性化是至關(guān)重要的，以滿足學習者的需求?！耙龅竭@一點，公司需要一個培訓(xùn)計劃，使他們能夠根據(jù)個人或團隊的需求量身定做課程，解決他們角色或個人弱點的現(xiàn)實問題?！盡cAlmont告訴記者。

他認為，許多網(wǎng)絡(luò)安全意識項目的幾個共同特征是被誤導(dǎo)的，因為它們出于合規(guī)目的勾選了一個框，但沒有考慮人們?nèi)绾螌W習以及如何讓他們改變自己的行為。“如果人們從一開始就置身事外，他們就不會學習和改變行為，所以我們需要考慮三件事來呈現(xiàn)這些信息：時機、相關(guān)性和個性化?！?/p>

由于網(wǎng)絡(luò)安全是一個復(fù)雜的話題，有很多技術(shù)細節(jié)，每年給某人上一次課并不會帶來更安全的企業(yè)，因為人們不會很好地保留信息，也不會改變他們正在做的事情。相反，每月定期培訓(xùn)可能會將網(wǎng)絡(luò)安全意識的需求放在首位。

McAlmont說，反復(fù)的學術(shù)研究發(fā)現(xiàn)，最佳演講時長為15分鐘，那么為什么要試圖在長時間的勞動力培訓(xùn)中傳達超重要的信息呢?“取而代之的是，把訓(xùn)練分成更短、更容易理解的部分，然后把它們分散到每月固定的節(jié)奏中。這樣做可以避免學習者疲憊不堪，并降低他們在午餐前忘記一切的可能性?！?/p>

為了保持培訓(xùn)的相關(guān)性，需要向?qū)W習者展示像網(wǎng)絡(luò)安全這樣的技術(shù)主題如何適應(yīng)他們的生活。McAlmont說：“這意味著要建立一個相關(guān)的故事，讓人們想：‘這可能真的會發(fā)生在我身上’，或者他們需要能夠?qū)⑴嘤?xùn)中的主題與現(xiàn)實生活中的事件聯(lián)系起來?！?/p>

當某人犯了錯誤時，無論是被IT部門的模擬釣魚郵件迷住了，還是被真正的攻擊迷住了，太多的程序都會依賴于懲罰性的方法，比如讓這個人參加“補救性培訓(xùn)”，或者給他打一個負分。他表示：“相反，要保持積極和不帶偏見。如果網(wǎng)絡(luò)安全意識培訓(xùn)不帶有負面內(nèi)涵或引發(fā)恐懼情緒，人們更有可能參與其中，并為之做出積極貢獻?！?/p>

這種方法是圍繞人們?nèi)绾螌W習改變他們的行為而建立的，這是一個比勾選合規(guī)計劃的框要好得多的目標。McAlmont說：“事實證明，使用動畫風格、故事驅(qū)動的插曲內(nèi)容是該行業(yè)制作的最吸引人的內(nèi)容之一。將這種娛樂性的方式與個性化交付相結(jié)合是全新的?！?/p>

6、網(wǎng)絡(luò)教育需要成為一種享受

當涉及到教育時，我們低估了講故事的力量，這意味著與其在培訓(xùn)模塊中使用假設(shè)場景，不如分享現(xiàn)實世界的入侵、騙局或網(wǎng)絡(luò)釣魚。SEI的網(wǎng)絡(luò)安全主管Mike Lefebvre告訴記者：“從實際的網(wǎng)絡(luò)戰(zhàn)爭故事中學習可以從一個實際的網(wǎng)絡(luò)事件中學到很多教訓(xùn)?！?/p>

他說：“員工需要關(guān)心網(wǎng)絡(luò)安全培訓(xùn)，才能改變員工的行為。如果網(wǎng)絡(luò)培訓(xùn)被定位為一種生活技能，可以幫助保護工作中和家里的員工，那么就有可能提高培訓(xùn)參與度?！?/p>

它需要及時、相關(guān)、吸引人、可接觸和簡潔，也就是治療?！耙虼?，當終端用戶點擊錯誤的鏈接或下載錯誤的電子郵件附件時，我們可以近乎實時地向他們介紹微型課程，而不是使用復(fù)雜的、正式的培訓(xùn)模塊，”他說?！霸诰W(wǎng)絡(luò)安全變得像安全帶或安全氣囊一樣無縫之前，我們還有很多工作要做。”

至于人工智能，目前還不清楚這對網(wǎng)絡(luò)教育和培訓(xùn)到底意味著什么，但它的巨大普及可能會改寫一些學習規(guī)則。它可能更像是一種“垃圾輸入，回收信息輸出”的情況，而不是迄今為止計算機科學定義的“垃圾輸入，垃圾輸出”的格言?！叭斯ぶ悄艿耐黄票砻?，有可能從看似糟糕的數(shù)據(jù)中獲得一些情報，”他表示。

Lefebvre認為，未來需要對教育和培訓(xùn)項目進行重大改造，以吸引即將與人工智能一起成長的一代人?！叭斯ぶ悄苡锌赡軓母旧细淖兾覀?nèi)祟愄幚砗蜋z索信息的方式，”他說。

7、通過冒險和非冒險的行動向員工提供實時反饋

Uptycs的CISO和產(chǎn)品戰(zhàn)略副總裁Kevin Paige表示，觀看基于計算機的視頻的傳統(tǒng)培訓(xùn)不起作用?！坝^看一個你不理解的話題的視頻，指望別人記住內(nèi)容，并將其應(yīng)用到現(xiàn)實世界中，這不是人們學習的方式?！?/p>

更好的方法是接入收集個人安全和風險遙測的系統(tǒng)，并使用這些數(shù)據(jù)向員工提供實時反饋，以及個人每天采取的有風險和無風險的行動?！熬拖裼梅e極和消極的增援來訓(xùn)練一只狗一樣，我們可以根據(jù)實時的行動/信息來訓(xùn)練人類?！盤aige說。

Paige認為，培訓(xùn)應(yīng)該直接展示當員工點擊釣魚電子郵件、在互聯(lián)網(wǎng)瀏覽器中鍵入密碼、打開共享文件或從不安全的網(wǎng)站下載病毒時會發(fā)生什么。當員工沒有從未經(jīng)批準的來源下載軟件時，他們應(yīng)該得到積極的反饋。如果組織能夠?qū)⑦@些反饋捆綁在一起，并給員工一個風險評分，這將使他們能夠評估他們公司的整體風險狀況。

8、讓網(wǎng)絡(luò)安全成為商業(yè)對話的一部分，但要保持相關(guān)性

網(wǎng)絡(luò)安全意識和培訓(xùn)不能只是一次性的活動，相反，它需要是關(guān)于威脅和風險格局不斷變化的性質(zhì)的定期、持續(xù)的對話。

為了幫助將潛在風險保持在人們頭腦中的前沿，Rapid7開發(fā)了自己的組織范圍內(nèi)每周安全公告，涵蓋了內(nèi)部和外部風險和威脅。就像每周的風險報告一樣，高級領(lǐng)導(dǎo)層有一個版本，企業(yè)的其他人也有另一個版本，其目的是報道嚴肅的主題，但以簡短有力的方式進行。

Rapid7的CSO Jaya Baloo告訴記者：“最多五個項目，因為我不是想讓任何人超負荷工作，我只是想讓每個人都變得更有水平，開始越來越具體地思考會影響我們企業(yè)的網(wǎng)絡(luò)安全問題。”

她說：“Leadance One有五個內(nèi)部項目，我們認為這些項目對企業(yè)來說是真正的風險，這些項目會交給高級副總裁和高管，要么需要采取行動，要么僅供參考?！倍鍌€外部因素是世界其他地區(qū)正在發(fā)生的事情，無論是地緣政治事件、競爭對手還是地區(qū)性事件，我們都可以學習，這將惠及整個公司。

Baloo還相信谷歌無可指責的事后哲學，該公司也遵循了這一做法?！拔覀儾皇窍胱屓魏稳嗽谶@件事上得罪人，我們只是想把它調(diào)整好。”