海外丨员工的网络安全意识是个坎儿，企业一定要重视起来！

前言

在企业内部，人为失误和缺少体系化的网络安全意识是企业数据泄露和安全威胁的首要原因。现阶段，网络安全意识虽然在培训方面取得了很大进展，但仍有很多企业并没有把员工网络安全培训放在首要位置，因此，强调网络安全意识的重要性并有效地做到这一点，还有一些工作要做。

1.获得高层对安全意识培训的授权

Wombat Security的Egan表示，安全专家们经常会被一个正在进行项目的细节搞得焦头烂额，而无法关注全局。例如，安全专家会告诉CEO，目前仍有15%的员工会点击网络钓鱼软件，而且无论安全专家如何努力，员工的网络安全意识不提高，企业所面临的网络安全风险仍不可能为零；重要的是这些数字对CEO们来说并没有任何意义。不如这样说：最好告诉他们，公司可以通过安全意识培训，降低安全风险和安全修复成本。这才是高层最想要获得的结果。

2.加强对特殊岗位人员的安全培训

CrowdStrike的服务副总裁汤姆•埃瑟里奇(Tom Etheridge)表示，公司应该将安全意识培训作为一项检查清单。从执行董事会和高管到财务团队和采购部门的高层领导，都需要参加公司组织的专业的网络威胁培训。

这些人岗位特殊，具有访问许多个人电脑和公司服务器信息的特殊权限，因此这些人在网络犯罪分子眼里是具有高价值的目标。

安全专家需给出安全策略，这样网络犯罪分子眼中的目标就可以学习如何使用双因素认证和加密之类的工具，以及学习在出差时保护物理资产（电脑等）所需采取的适当步骤。

3.提升信息安全意识，从领导层开始

一般来讲，当管理层开始重视网络安全时，员工也会被带动，对企业信息安全政策和准则认真对待，有意识地避免诈骗和数据泄露的威胁。

安全专家更为关注那些为安全意识培训提供资金以及支持的人员。也就是说公司是否对员工提供安全意识培训的决定权多数掌握在其直属领导手中。因此，只要得到领导们的认可，那么员工的安全意识培训就可以正常进行，也就能够有效地提升团队的网络安全意识，

4.公司应寻找天生的领导者

Wombat Security的Egan表示，许多公司没有考虑为安全意识项目建立一个特别部门。安全专家可以寻找天生的“领导者”——他们可能是技术人员，也可能不是技术人员，但在公司聚会上是派对的主角，或者总是在全公司的会议上发言。让他们成为公司的拥护者，他们会说服其他人，安全意识对于公司的网络安全持续建设是非常重要的。

5.安全意识将作为技能贯穿员工整个职业生涯

当然，安全意识培训会让公司更安全。但是，安全专家和人力资源部的工作人员并没有提到其他广泛的好处。例如，公司对员工进行安全意识培训，可以间接地帮助其父母避免一些常规的网络安全损害，将损失降到最低。这些上了年纪却不懂电脑的老人，可以在充满网络安全威胁的今天，最大化享受先进互联网技术带来的乐趣。

我们可能没有意识到，安全意识已经不仅仅是一个商业问题，而是一个现代生活技能问题。人力资源部门在招聘新员工时需要强调培训方面的内容以及重要性。这将是每一个员工在他们职业生涯中可以随身携带的技能。

6.企业举行攻防演练，提升防御能力

很多公司会给员工发送一些网络钓鱼邮件进行内部测试，看看会发生什么。但是在进行任何测试之前，他们要考虑使用攻击的类型、如何对被钓鱼的用户进行分组等考量。

CrowdStrike公司就经常与企业合作进行测试，在特定时间尝试网络钓鱼，以观察员工的表现。他说，基于广泛的网络钓鱼可能是为了有助于合规目的或评估企业采取网络安全策略的有效性，但这并不能测试出企业真实的防御能力。因此，公司如果有条件，可以进行红蓝对抗比赛，有效提升技术人员的攻防水平，最终向高管说明安全团队是如何能更有效地应对安全问题。

企业的网络安全与否，员工的网络安全意识是一道坎儿，只有过了这一关，才能打牢企业网络安全的地基，有效降低数据泄露等网络安全风险。

获取更多网络安全行业资讯，请关注e安在线微信公众号：