安全意识培训：不只是为了合规

尽管如此，现在越来越多的企业正在转向安全培训来解决各种安全和业务问题。

原因之一在于，在企业环境中，携带自己设备到工作场所(BYOD)趋势的日益流行让设备可以绕过或者无视很多企业用于保护台式机和笔记本电脑的经过检验而可靠的技术控制。这样一来，攻击者和敏感企业数据之间的唯一障碍可能是企业对使用BYOD手机的安全最佳做法的知识。

Walls认为，另一个因素是影响着各种规模和各行各业的企业的数据泄露事故浪潮。面对数据泄露事故问题，企业可以部署尽可能多的技术，但如果员工仍然会打开钓鱼邮件，培训就成为一种必然。

Walls表示，企业还关注数据泄露事故相关的“声誉问题”。例如，在零售商Target和Home Depot公司遭遇大规模数据泄露事故后，这两家公司饱受批评，有消息称这两家公司的安全程序都存在严重的人员和技术失误。

在看到这样的数据泄露事故时，企业通常担心面对来自客户和股东的类似批评—关于员工没有受到适当的培训。

Walls表示：“企业想要能够证明他们已经教授其员工所有这些内容，以及员工具有相关技能。”

　　选择安全意识培训供应商

面对市场中数以千计的安全意识培训供应商，以及进入Gartner魔力象限的近20家供应商，企业可能想知道哪家最好。尽管Gartner魔力象限将某些供应商标注为“领导者”或者“远见者”，Walls强调，对于培训，并没有“最佳供应商”，只有满足具体要求的合适的供应商。

Walls表示，企业必须认识到，从性质来看，安全培训应该对目标受众进行定制化。客户服务员工可能适合一年两次的基于计算机的培训模式，而首席执行官和其他高管则更适合通过其他培训方法获取知识。

考虑到这一点，Walls建议，企业应该看看哪些供应商提供特定主题的培训(可以是针对特定行业，或者特定监管要求，例如HIPAA或者反钓鱼)，然后苹果可用的培训模式来确定是否满足企业员工培训需求。

“这可能是具有高互动性的过程，供应商可能会送他们一本书，但企业必须要自己进行分析，”Walls指出，很多他知道的企业选择多个供应商来满足不同的需求。“如果你是在印度尼西亚和新泽西州运营的跨国企业，你不能给每个人都安排相同的培训。”

除了事前评估企业的需求，在选择培训供应商需要考虑的另一个重要因素是提供的评估服务。有些供应商可能提供简短培训视频，紧接着是一个测试来帮助企业遵守法律法规，但Walls强调这些方法并不能提高企业的安全态势。

企业应该确定培训供应商提供持续的评估服务。Walls表示，反钓鱼供应商(例如Wombat、PhishMe和PhishLine)在近年来颇为流行，不仅因为网络钓鱼攻击给企业构成巨大威胁，而且因为这些供应商客户真正证明钓鱼预防培训服务的有效性。

“他们会发送附有连接的邮件给你，如果你点击它，你就要继续回去参加辅导培训，”Walls表示，“持续的评估构建在员工实际操作的根本性质中。”

Walls预计，在未来几年我们会看到较大型培训供应商之间的大量整合。有些较大型安全供应商会考虑进行收购，以整合安全意识培训到更大的产品组合中，而PhishMe和Wombat等供应商已经与其他安全公司建立了合作伙伴关系。他补充说，反钓鱼供应商可能会受到影响，因为其产品的独特性被削弱。

Walls总结道，未来市场整合活动对于行业是利好消息，因为培训会被视为合法的必须具备的企业安全工具。

“如果你不让员工了解你的政策，你不要指望他们会遵循政策，”Walls表示，“企业应该将其视为基本要素，就像在台式机部署反恶意软件。”

(责任编辑：安博涛)