無意識，不安全！

據 Proofpoint 最新發布的《2018年度人為因素報告》指出：組織和個人每天都會遇到新的網路威脅，從大規模惡意垃圾郵件、勒索軟體、網路釣魚、社交媒體欺詐、Web應用攻擊等，然而絕大多數威脅有一個共同特點：他們利用 「人為因素」 而不是軟體和硬體漏洞，依賴於在人際互動中利用人們的好奇心和容易相信他人的本性，誘使其點擊惡意鏈接、下載危險文件、無意中安裝惡意軟體、轉移資金和泄露敏感信息等，而且威脅源起方 (Threat Actors 一般可分為外部、內部、合作夥伴) 通過精心策劃的誘惑與騙局在不斷地改良他們的社會工程學攻擊方式。針對電子郵件欺詐的最新社會工程技術面向企業80％的員工，只要有一名員工中招，就可能使企業陷入安全風險之中。如果員工因害怕遭受懲罰而隱瞞涉及到自己的安全事件，則可能給企業帶來更為嚴重的無法挽回的損失 (企業網路安全文化建設不容忽視）。

不必恐慌，安全意識是根本！

在令人憂心與震驚的統計數字背後，我們仍應看到希望。人是網路安全問題的核心，而這是一個可以解決的問題。據普華永道一份報告顯示：員工接受過適當的安全培訓/教育，網路安全事故成本可降低76％。但並不是任何安全意識計劃都能起到應有的作用，如何正確地開展意識教育是很有挑戰的工作。據 Ponemon Institute 一份報告顯示：在接受調查的公司中，只有50％同意他們目前的員工安全培訓實際上減少了不合規行為，也許是因為很多公司 (43％) 將安全意識教育作為適用於所有員工的一種 「通用性」 培訓。沒有充分考慮各層級、各部門、各崗位差異的 「一刀切式」 的安全意識教育計劃很難吸引員工參與進來，進而改變員工的行為。

學習理論家John Keller的ARCS學習模型

動機受注意力 (Attention)、相關性 (Relevance)、信心 (Confidence) 和滿意度(Satisfaction) 四因素的影響，強調了對於成人學習者而言，學習內容具有 「相關性」 的重要性。該模型表明：當員工在培訓中可以看到學習內容與他們的工作崗位角色和個人工作目標之間的聯繫，就容易接受培訓中的新信息。簡單地說：當學習內容相關/有用時，才最具影響力；否則，就是在浪費時間和金錢。基於崗位的安全意識教育解決了 「相關性」 的問題，可以讓不同角色的員工（如人力資源、財務、銷售、IT等）接受專為其量身定製的意識教育。例如：對於行政人員 ，信息分類、文件保密、U盤泄密、社交媒體隱私等內容就容易引起興趣和重視。

給合適的人，提供合適的內容

網路安全，人人有責！當下，網路釣魚仍是最受網路犯罪分子 「歡迎」 的攻擊手段。安全意識教育對每個擁有 email 帳戶和/或訪問公司網路的人員都至關重要，包括從CEO到前台的每一個人；然而，員工在參與保護企業網路安全/數據隱私方面因工作角色不同而有所差異，不同員工擁有的系統/數據許可權不一樣，對其安全意識/能力要求不盡相同，相應的意識教育目標也不同，安全意識教育應當反映出這種角色差異性。針對不同層級員工，需要考慮的一些因素：

C級高管

面向高級管理層開展安全意識教育，主要挑戰可能是時間和溝通問題。C級高管通常工作繁忙，還有大量會議安排。考慮到這一點，培訓內容應盡量簡短、重點突出，且需注意溝通用語，引用不同的案例。另外，C級高管認為 「這事兒不可能發生在我身上」 的觀念需要扭轉。事實上，「鯨釣(Whaling)」、「商業電子郵件入侵(BEC)」、「CEO 詐騙」往往專門針對企業高管 (如CEO/CIO/CTO/CFO等)，黑客通常會冒充高管角色，向下屬發出轉賬請求。毫無戒心的員工通常不會質疑或違背上級的指令，很容易被騙打開受感染的附件文檔或鏈接、將大筆款項匯入不法分子的賬戶。據美國聯邦調查局(FBI)發布的公告顯示，僅2017上半年BEC詐騙已造成全球高達53億美元的經濟損失。

IT部門

對於IT部門來說，安全意識培訓應該更偏技術性，涵蓋更複雜的網路安全協議、控制措施、安全技術/標準/政策/規範等，不僅要識別威脅，而且還要有處理潛在風險或安全問題的知識與能力。開發人員應提升安全開發意識，掌握安全開發的基本原則、知識和技能，從應用誕生的源頭著手減少安全隱患。

各級管理層

管理層在安全意識中的作用是執法者和拉拉隊長。他們必須了解不同的安全方法和策略（如使用強密碼）、不同的業務場景下員工應該怎麼做的規範，並能確保意識計劃在各個部門實施。管理層培訓不僅應該涵蓋一般的安全意識，還應該包括如何確保部門每個人都遵循安全要求。

普通員工

對於一般工作人員來說，安全意識培訓內容應該淺顯易懂、生動有趣，貼近工作/生活。定期的意識教育可以使整個團隊始終保持警惕，還應該確保員工掌握安全事件報告流程等。針對員工的意識計劃執行周期較長，需要持續教育，以改變不安全的網路行為習慣。

員工安全意識決定了企業安全最終能夠達到的高度

沒有員工安全意識的配合，一切安全技術措施的有效性都將大打折扣。提升員工安全意識是任何企業網路安全或風險管理策略的重要組成部分，而意識教育需要採用正確的方式方法。基於崗位角色的安全意識培訓意味著確保員工只接受所需內容的培訓，佔用每位員工的工作時間更少，將更多時間專註於生產性業務工作，還可以降低員工排斥感，提升參與度。以對企業各部門最有意義的方式設計和實施安全意識教育，將有助於每個部門成員將學到的內容自覺應用到日常的工作生活中去。

*********************************************

參考資料

1. https://www.proofpoint.com/us/threat-insight/post/threat-actors-follow-money-proofpoint-releases-human-factor-2018-report

2. https://elearningindustry.com/arcs-model-of-motivation

*尊重原創！所有圖片均來源網路，版權歸原作者所有！ 歡迎拍磚、交流，轉載請聯繫並註明出處：超安全！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！