姜太公釣魚，愿者上鉤。而網(wǎng)絡(luò)釣魚屢見不鮮的原因在于，雖然有很多所謂有見識的員工知道單擊不明附件或鏈接的風(fēng)險(xiǎn)，但仍有許多人樂此不疲，渾然不知自己已經(jīng)上當(dāng)。此可謂“好奇害死貓”。

許多安全專家重視技術(shù)和安全風(fēng)險(xiǎn)的培訓(xùn)，并以此作為一種“亡羊補(bǔ)牢”之舉。有不少企業(yè)先買設(shè)備或服務(wù)，而后才是培訓(xùn)，這是一種錯(cuò)誤的方法。要知道，如果惡意攻擊者成功地誘惑了一個(gè)內(nèi)部人員為其效力，那么下一代防火墻將無法保護(hù)企業(yè)。但是，必須保證安全培訓(xùn)有效地深入到用戶的內(nèi)心。

在此提供幾條技巧，以供參考：

設(shè)法使管理部門參與其中。對于管理部門，安全管理者要向其強(qiáng)調(diào)良好安全所帶來的經(jīng)濟(jì)效益，并強(qiáng)調(diào)由于減少了數(shù)據(jù)庫遭受損害的風(fēng)險(xiǎn)，必然會(huì)減少“宕機(jī)”時(shí)間和經(jīng)濟(jì)損失。相反，如果安全專家無法說服管理者實(shí)施強(qiáng)健有效的培訓(xùn)計(jì)劃，由數(shù)據(jù)損害所導(dǎo)致的經(jīng)濟(jì)損失和補(bǔ)救成本將極大地增加。

有針對性地進(jìn)行安全培訓(xùn)。在提供安全培訓(xùn)時(shí)，對銷售人員和收發(fā)室的員工是否同等對待?答案應(yīng)當(dāng)是否定的，培訓(xùn)應(yīng)當(dāng)重視不同員工所面臨的特定漏洞。例如，銷售員應(yīng)當(dāng)接受更多的移動(dòng)安全培訓(xùn)，因?yàn)樗麄儽绕渌麊T工更有可能在其工作中使用移動(dòng)設(shè)備和應(yīng)用。此外，對IT部門進(jìn)行培訓(xùn)也是非常必要的。

確保安全培訓(xùn)深入人心。安全意識培訓(xùn)不是一種“一蹴而就”的訓(xùn)練。公司至少每年舉行一次培訓(xùn)，最好每季度舉行一次。最好的方法是，確保培訓(xùn)的連續(xù)性。例如，公司不妨設(shè)置員工的桌面，使其每周都能夠看到不同的安全消息。公司應(yīng)當(dāng)圍繞著安全構(gòu)建文化。

講演技巧很重要。為什么有的人在進(jìn)行安全培訓(xùn)時(shí)觀眾能夠熱情洋溢?而有的人在演講時(shí)卻令人感覺如同嚼蠟?原因就在于技巧。企業(yè)不應(yīng)當(dāng)僅僅通知員工必須參加安全培訓(xùn)，而應(yīng)當(dāng)用一種鼓動(dòng)性方法使員工樂于接受培訓(xùn)。例如，如果安全培訓(xùn)者用這樣一個(gè)題目作為演講的主題，“黑客怎樣竊取你的個(gè)人信息?”，如果培訓(xùn)講師能夠以生動(dòng)的案例來闡釋，則其效果顯然是事半功倍。在這個(gè)問題上，企業(yè)不妨向營銷人員取經(jīng)。

解釋為什么需要安全策略。雖然在許多主流媒體上已經(jīng)有許多敏感數(shù)據(jù)遭受嚴(yán)重?fù)p失的案例，很多用戶仍不會(huì)覺得自己的數(shù)據(jù)有什么風(fēng)險(xiǎn)。培訓(xùn)者需要借助案例有針對性地向員工展示，黑客是怎樣利用其個(gè)人數(shù)據(jù)并最終給公司帶來損失的。

向用戶展示不遵循安全方案的示例。培訓(xùn)人員不能僅僅告訴用戶不要點(diǎn)擊可疑的附件或鏈接，而是展示可疑的鏈接或附件的樣子。通過幻燈向員工強(qiáng)調(diào)惡意內(nèi)容是什么樣子。視頻比幻燈更有說服力。例如，安全培訓(xùn)者不妨向員工展示數(shù)據(jù)泄露的危險(xiǎn)，警告他們在處理文檔時(shí)保持謹(jǐn)慎的重要性。

確保用戶可以輕松地遵循安全策略。例如，不必強(qiáng)求用戶的口令必須非常復(fù)雜，以防止其遺忘。如果用戶忘記了口令，應(yīng)該允許其重置。

此外，保持正確的態(tài)度。員工們不喜歡你以安全專家的姿態(tài)高高在上地教訓(xùn)他們，不要把他們看作傻子。