首席信息安全官：向砍「安全意識」培訓預算的老闆 Say No！

4·29首都網路安全日開幕在即，2018年將延續 「網路安全同擔、網路生活共享」 的主題。網路安全不僅關乎國家安全、社會安全、經濟安全、關鍵信息基礎設施安全，我們每個公民的日常工作生活，甚至人身安全都與網路安全休戚相關。

在國家層面，美國早在2004年就開展了 「國家網路安全意識月(National Cyber Security Awareness Month)」 活動，歐盟在2012年開展 「歐洲網路安全月 (European Cyber Security Month)」 ，我國在2014年首次啟動了 「國家網路安全宣傳周(China Cybersecurity Week)」, 各國政府主導的網路安全意識教育活動通常有明確的目標，並確保資金持續投入。長期來看，這些活動將有助於提高全民的網路安全意識、降低民眾乃至國家遭受網路安全風險的可能性。

在企業層面，一些注重網路安全的企業已經行動起來，開展各式各樣的網路安全日、安全周、安全月等活動，然而大部分企業因各種原因，並未能建立有效的安全意識培訓計劃。首席信息安全官/信息安全總監滿腔熱情想提升員工安全意識，但往往受困於企業安全文化缺失、管理層對安全的重視不足、嚴苛的預算、領導本身意識的淡薄、資源不足(部門配合意願低)等。

先來了解一下安全意識培訓的投資回報率(ROI)問題: 美國SANS研究院提供的圖表顯示了安全意識培訓的最佳預算 「甜蜜點(Sweet Spot)」, X軸表示為保護企業安全所付出的努力程度，企業投入的時間、資源和努力越多，員工的安全意識就越強。最左邊是大多數企業員工所在的位置，員工安全意識淡薄；最右邊是具備優秀安全知識、意識與技能的安全極客。Y軸衡量企業的投資回報，甜蜜點是企業可以獲得最大投資回報的位置。投入太少，員工的安全思維和行為習慣沒有形成，企業時刻會面臨安全風險。投入過多，有可能矯枉過正。安全意識培訓的目標不是將所有員工變為安全專家，要把握分寸，企業根據企業面臨的風險環境，考慮風險容忍度，以及現階段全體員工安全意識的成熟度，適當調整相應預算是明智的。

安全意識培訓最常見的兩大目標是降低風險和滿足合規性。如何獲得老闆支持，爭取合理預算、資源投入意識教育項目？可以幫助公司減少多少可量化的安全風險？如何衡量安全意識計劃的ROI是企業安全負責人會遇到的挑戰，需要將安全目標與業務目標、企業品牌、數據泄露風險的可能損失等聯繫起來，並做好充分準備回答安全意識培訓到底能給企業帶來什麼價值，老闆的質疑經常會是：

「公司從未發生過安全事件，安全意識培訓有必要嗎？」

黑客攻擊會發生在任何時間、任何地點，黑客在系統里潛伏的平均時長達200餘天。在複雜多變的黑客攻擊面前，沒有企業或個人能夠成為幸運兒。在安全生產管理領域，「安全第一、預防為主」是基本方針，企業網路安全管理同樣重在預防。每一家公司都應該通過提升全體員工的安全意識，做好隨時會被黑掉的準備，以便第一時間減少網路安全事件帶來的風險與損失。

「我們是小公司，對黑客來說沒多大價值，沒必要擔心安全意識問題吧？」

老闆有這種觀念是非常危險的！2017年整個網路空間並不太平，重大數據泄露事件的新聞也屢屢見諸報導，黑客攻擊的對象也不斷擴展：從政府組織到大中型企業、互聯網企業、醫院、電網，再到小創業公司均無一倖免。黑客攻擊大公司的成本和難度往往很高，而中小企業安全防禦能力與安全意識較差，更容易成為黑客的「獵物」，且小公司的財務信息、客戶數據、知識產權等同樣具有吸引力。

「我們已經部署了那麼多安全技術措施，足以抵禦黑客攻擊了！」

據世界經濟論壇(WEF)發布的《2018年全球風險報告》顯示：大規模網路攻擊威脅是Top10威脅場景中由人為因素造成的最高威脅。企業所部署的所有安全技術與解決方案的有效性，最終取決於「人」。全體員工安全意識提高了是否就一定能杜絕網路安全風險？不一定。但可以肯定的是，員工安全意識不強安全事件就會不可避免地頻發。大多數安全控制措施旨在針對某項特定風險，如：雙因素身份認證可以降低弱密碼風險、防病毒解決方案可以降低惡意軟體風險、郵件過濾可以緩解詐騙和惡意鏈接風險等。而實施安全意識教育這一層「控制措施」，不僅助於減輕任何以上三種風險，還可以降低包括社交媒體、移動設備、應用開發、勒索軟體等等更多風險。

「公司在安全方面的預算有限，安全意識培訓很可能要砍掉。」

確實需要一定成本，沒錢幹不了事兒，但安全意識培訓只需要較低的成本，就可以帶來可觀的持續回報。據Aberdeen Group於2017年7月份發布的一份定量分析報告顯示：在員工安全意識與安全培訓方面進行投資的企業，可有效降低安全風險高達50%，平均年投資回報率高達5倍。一旦發生數據泄露事件，有可能會給企業帶來滅頂之災（GDPR將於2018年5月25日實施，違反的企業將面臨年收入4%或2000萬歐元的巨額罰款）。

當老闆壓縮安全意識預算時，首席信息安全官不應拿 「公司不重視安全人才發展」 作為理由回應，而應冷靜地分析安全意識培訓預算到底是怎麼個花法？是否好鋼都用在了刀刃上？向老闆清晰地呈現全員安全意識培訓是公司最值得的投資。

公司管理層必須清醒地認識到，公司所面臨的整體網路安全態勢將隨著時間推移變得愈加危險。全球範圍內網路犯罪分子的數量在不斷增長，黑客攻擊的戰術、技能也在不斷發展和演變。只有持續實施安全意識教育計劃，將全員武裝起來，才能始終保持領先黑客一步！

另外，創建、實施和管理安全意識計劃確實需要投入時間和精力，要想安全意識計劃取得最大效果和投資回報率，必須配備至少一名專職的安全意識人員（如 Security Awareness Expert/ Advocate/ Leader/ Program Manager/ Specialist等）,目前國內企業比較少設置相關崗位。

***************************************

參考資料

1. http://www.aberdeen.com/research/16709/16709-RR-Risk-Phishing-Training.aspx/content.aspx

2. https://www.sans.org/security-awareness-training/blog/security-awareness-visualizing-roi

*所有圖片均來源網路，版權歸原作者所有！ 歡迎拍磚、交流，轉載請註明出處：超安全！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！