企業(yè)員工安全意識培訓一直被認為是合規(guī)性的可選活動，但并不一定是保護企業(yè)資產(chǎn)的有效策略。

[[122557]]

然而，在充滿質(zhì)量安全意識培訓產(chǎn)品的競爭激烈的市場，一位專家稱，企業(yè)安全管理人員應該重新思考他們對用戶意識培訓的看法。

研究公司Gartner這個月發(fā)布了第一個安全意識培訓供應商魔力象限，該報告分析了來自19個最大安全意識培訓供應商的產(chǎn)品。重量級供應商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名，還有令人驚訝的大批初創(chuàng)培訓機構(gòu)?？偠灾揋artner報告中的供應商的總體年收入約為6.5億美元。

該報告作者同時也是Gartner研究副總裁Andrew Walls表示，在這個Gartner研究中不能看到的是，成千上萬的利基培訓供應商，這些供應商在適當?shù)那闆r下可以像大型供應商一樣提供有用的產(chǎn)品。例如，如果一家小型培訓供應商旨在美國辛辛那提地區(qū)運營，并且其客戶好評如潮，辛辛那提的企業(yè)應該考慮這家本地供應商是否滿足其企業(yè)的需求。

Walls表示，“他們沒有在俄亥俄州之外提供培訓服務其實并不重要。”

他指出，世界各地有很多這樣的供應商，他們僅在一個地區(qū)提供培訓服務，例如北京或者倫敦，或者有的供應商近提供特定語言的安全意識培訓，這在印度這樣的國家就很普遍。當同時考慮這些大型和小型供應商時，其結(jié)果是，這個培訓市場的年收入已經(jīng)超過10億美元，并且根據(jù)有限的市場數(shù)據(jù)，這個市場每年大約增長13%。

安全意識培訓拐角

Walls承認，盡管長期以來很多企業(yè)認為員工意識培訓根本沒有作用，但安全意識培訓市場正在蓬勃發(fā)展。

他表示，這種態(tài)度在很大程度上是源于企業(yè)過去的錯誤，企業(yè)通常利用內(nèi)部安全團隊來制定安全培訓計劃。雖然來自內(nèi)部安全專家的意見對于高質(zhì)量培訓很重要，但Walls稱，這種DIY培訓課程往往沒有包含關(guān)鍵因素：教學設(shè)計人員和其他培訓專家。

“有效的教育并不是簡單的事情，這需要非常了解你的受眾，以及你如何衡量教學成效，”Walls表示，“在這個行業(yè)中，在安全教育的歷史完全忽略了這些，它并沒有擔心效果;并沒有考慮這是否有效。”

“從而導致大家普遍認為，安全培訓并不值得花時間和金錢，”Walls繼續(xù)說道，“這是責備工具的經(jīng)典綜合征，錯在于你，而不是受眾。”

安全意識培訓：不只是為了合規(guī)

盡管如此，現(xiàn)在越來越多的企業(yè)正在轉(zhuǎn)向安全培訓來解決各種安全和業(yè)務問題。

原因之一在于，在企業(yè)環(huán)境中，攜帶自己設(shè)備到工作場所(BYOD)趨勢的日益流行讓設(shè)備可以繞過或者無視很多企業(yè)用于保護臺式機和筆記本電腦的經(jīng)過檢驗而可靠的技術(shù)控制。這樣一來，攻擊者和敏感企業(yè)數(shù)據(jù)之間的唯一障礙可能是企業(yè)對使用BYOD手機的安全最佳做法的知識。

Walls認為，另一個因素是影響著各種規(guī)模和各行各業(yè)的企業(yè)的數(shù)據(jù)泄露事故浪潮。面對數(shù)據(jù)泄露事故問題，企業(yè)可以部署盡可能多的技術(shù)，但如果員工仍然會打開釣魚郵件，培訓就成為一種必然。

Walls表示，企業(yè)還關(guān)注數(shù)據(jù)泄露事故相關(guān)的“聲譽問題”。例如，在零售商Target和Home Depot公司遭遇大規(guī)模數(shù)據(jù)泄露事故后，這兩家公司飽受批評，有消息稱這兩家公司的安全程序都存在嚴重的人員和技術(shù)失誤。

在看到這樣的數(shù)據(jù)泄露事故時，企業(yè)通常擔心面對來自客戶和股東的類似批評—關(guān)于員工沒有受到適當?shù)呐嘤枴?/p>

Walls表示：“企業(yè)想要能夠證明他們已經(jīng)教授其員工所有這些內(nèi)容，以及員工具有相關(guān)技能。”

選擇安全意識培訓供應商

面對市場中數(shù)以千計的安全意識培訓供應商，以及進入Gartner魔力象限的近20家供應商，企業(yè)可能想知道哪家最好。盡管Gartner魔力象限將某些供應商標注為“領(lǐng)導者”或者“遠見者”，Walls強調(diào)，對于培訓，并沒有“最佳供應商”，只有滿足具體要求的合適的供應商。

Walls表示，企業(yè)必須認識到，從性質(zhì)來看，安全培訓應該對目標受眾進行定制化?？蛻舴諉T工可能適合一年兩次的基于計算機的培訓模式，而首席執(zhí)行官和其他高管則更適合通過其他培訓方法獲取知識。

考慮到這一點，Walls建議，企業(yè)應該看看哪些供應商提供特定主題的培訓(可以是針對特定行業(yè)，或者特定監(jiān)管要求，例如HIPAA或者反釣魚)，然后蘋果可用的培訓模式來確定是否滿足企業(yè)員工培訓需求。

“這可能是具有高互動性的過程，供應商可能會送他們一本書，但企業(yè)必須要自己進行分析，”Walls指出，很多他知道的企業(yè)選擇多個供應商來滿足不同的需求。“如果你是在印度尼西亞和新澤西州運營的跨國企業(yè)，你不能給每個人都安排相同的培訓。”

除了事前評估企業(yè)的需求，在選擇培訓供應商需要考慮的另一個重要因素是提供的評估服務。有些供應商可能提供簡短培訓視頻，緊接著是一個測試來幫助企業(yè)遵守法律法規(guī)，但Walls強調(diào)這些方法并不能提高企業(yè)的安全態(tài)勢。

企業(yè)應該確定培訓供應商提供持續(xù)的評估服務。Walls表示，反釣魚供應商(例如Wombat、PhishMe和PhishLine)在近年來頗為流行，不僅因為網(wǎng)絡釣魚攻擊給企業(yè)構(gòu)成巨大威脅，而且因為這些供應商客戶真正證明釣魚預防培訓服務的有效性。

“他們會發(fā)送附有連接的郵件給你，如果你點擊它，你就要繼續(xù)回去參加輔導培訓，”Walls表示，“持續(xù)的評估構(gòu)建在員工實際操作的根本性質(zhì)中。”

Walls預計，在未來幾年我們會看到較大型培訓供應商之間的大量整合。有些較大型安全供應商會考慮進行收購，以整合安全意識培訓到更大的產(chǎn)品組合中，而PhishMe和Wombat等供應商已經(jīng)與其他安全公司建立了合作伙伴關(guān)系。他補充說，反釣魚供應商可能會受到影響，因為其產(chǎn)品的獨特性被削弱。

Walls總結(jié)道，未來市場整合活動對于行業(yè)是利好消息，因為培訓會被視為合法的必須具備的企業(yè)安全工具。

“如果你不讓員工了解你的政策，你不要指望他們會遵循政策，”Walls表示，“企業(yè)應該將其視為基本要素，就像在臺式機部署反惡意軟件。”