企業(yè)內(nèi)部的任何倡議都需要跨部門或團隊的利益相關者的廣泛支持才能取得成功。NINJIO公司的CEO Shaun McAlmont為此強調(diào)，網(wǎng)絡安全意識培訓項目尤其如此，因為企業(yè)中的每一個人都是潛在的安全漏洞。

82%以上的網(wǎng)絡攻擊都歸咎于人為錯誤，內(nèi)部人員的錯誤為網(wǎng)絡攻擊者提供了更多成功的機會，他們所犯的錯誤可以在企業(yè)的業(yè)務安全與災難之間產(chǎn)生巨大的差異。因此，企業(yè)中的每個人都需要理解并接受這個現(xiàn)實。

與所有非技術性的挑戰(zhàn)一樣，不同的方法將適用于不同的利益相關者。對于專注于資源分配的企業(yè)高管來說，除了為網(wǎng)絡安全意識培訓項目的成功編制明確的關鍵績效指標之外，將網(wǎng)絡攻擊的破壞能力與網(wǎng)絡安全意識培訓的成本效益進行比較也是很重要的。

對于更廣泛的員工隊伍，首席信息安全官和團隊領導者可以闡明網(wǎng)絡安全意識的價值，并指出這是一個專業(yè)發(fā)展機會，也是一種展示員工如何維護企業(yè)安全來增強自身能力的方式。網(wǎng)絡安全意識培訓旨在確保長期的行為改變，這意味著為所有利益相關者提供正確的激勵。

由于網(wǎng)絡安全涉及到每個人工作的更多方面，擁有一個知道如何建立和維護利益相關者對網(wǎng)絡安全意識培訓計劃支持的安全領導團隊至關重要。更重要的是，人們親眼目睹了企業(yè)獲得的一些成功，這些企業(yè)的思維從把網(wǎng)絡安全意識培訓作為IT孤島中的事物轉(zhuǎn)變?yōu)閷⑵湟暈槲幕暮诵某煞?。正確了解網(wǎng)絡安全的定位是至關重要的，鼓勵那些積極通過定期培訓來降低風險的人員，首席信息安全官需要有直接的洞察力和指標來跟蹤員工在網(wǎng)絡安全培訓方面的進展。

為網(wǎng)絡安全意識辯護的財務理由

隨著企業(yè)增加對網(wǎng)絡安全團隊的投資，有必要為網(wǎng)絡安全意識培訓的采用和遵守提出清晰而令人信服的理由。要做到這一點，最可靠的方法之一是強調(diào)網(wǎng)絡攻擊將會為企業(yè)帶來慘重的損失。根據(jù)IBM公司發(fā)布的一份研究報告，全球各地的企業(yè)在2022年遭遇數(shù)據(jù)泄露事件造成的損失達到了平均435萬美元，并創(chuàng)歷史新高。在美國，這一數(shù)字高達944萬美元，是世界各國中最高的。在IBM公司的調(diào)查中，83%的企業(yè)表示他們以前曾經(jīng)遭到網(wǎng)絡攻擊。

一些代價最高和最常利用的攻擊載體直接涉及員工：典型的網(wǎng)絡釣魚攻擊在2022年造成了平均491萬美元的經(jīng)濟損失，被盜或受損憑證的網(wǎng)絡攻擊造成的損失平均達到450萬美元。

對于企業(yè)來說，阻止這些網(wǎng)絡攻擊的培訓成本相對便宜，只要具有網(wǎng)絡安全意識的員工阻止一次網(wǎng)絡攻擊就會帶來積極的投資回報。根據(jù)IBM公司的調(diào)查，對于擁有網(wǎng)絡安全培訓計劃的企業(yè)來說，遭到網(wǎng)絡攻擊造成的財務影響不那么嚴重。

網(wǎng)絡安全意識培訓的實踐案例

網(wǎng)絡攻擊對企業(yè)造成的損失不僅僅是經(jīng)濟上的。IBM公司在調(diào)查中還發(fā)現(xiàn)，識別和遏制網(wǎng)絡攻擊需要一段時間：發(fā)現(xiàn)漏洞平均需要207天，修補漏洞需要70天。運營部門主管很容易地理解在七個月的時間里可能會丟失多少敏感數(shù)據(jù)，多花兩個多月的時間和費用修補漏洞，也將影響企業(yè)的業(yè)務。

更重要的是，企業(yè)在遭到網(wǎng)絡攻擊之后可能面臨嚴重的聲譽損失。用戶關心個人信息安全，這也延伸到了他們與企業(yè)的互動方式。Arcserve公司日前發(fā)布的一份調(diào)查報告發(fā)現(xiàn)，59%的消費者表示他們會避免與在過去一年中經(jīng)歷過網(wǎng)絡攻擊的企業(yè)合作，光是這個數(shù)字就足以讓企業(yè)的首席營銷官和銷售主管相信網(wǎng)絡安全意識培訓是值得的。

這些都是企業(yè)建立一個強大的網(wǎng)絡安全意識培訓計劃的令人信服的理由，尤其是在企業(yè)面臨經(jīng)濟逆境時，他們越來越關注網(wǎng)絡攻擊帶來的損失。網(wǎng)絡安全意識培訓不僅可以幫助企業(yè)避免網(wǎng)絡攻擊造成的毀滅性損失，還可以防止消費者由于企業(yè)遭到網(wǎng)絡攻擊而失去信任，并確保員工能夠適應不斷變化的網(wǎng)絡威脅形勢。

在企業(yè)內(nèi)部獲得利益相關者的支持

即使企業(yè)的領導團隊支持網(wǎng)絡安全意識培訓計劃，仍然需要獲得員工的大力支持。很多人對網(wǎng)絡安全最普遍的誤解是，確保網(wǎng)絡安全完全是IT團隊和安全團隊的責任，這些團隊擁有許多員工不具備的特定技術。這種誤解導致一些員工有一種無力感，他們覺得自己受網(wǎng)絡罪犯擺布，而并不認為保護自己的信息安全也是他們的責任。

犯這種錯誤的不僅僅是員工，部門經(jīng)理和企業(yè)高管也經(jīng)常堅持認為網(wǎng)絡安全超出了他們的范圍，這意味著他們同時增加了自己被黑客攻擊的幾率，并為團隊成員樹立了一個不良的榜樣。

任何網(wǎng)絡安全意識培訓項目的首要任務都是消除這些幻想，向企業(yè)的每個人展示他們不僅有能力防止網(wǎng)絡攻擊，而且有責任這樣做。但這種策略不能以無聊的講座、PowerPoint演示文稿或大量電子郵件的形式表現(xiàn)出來。讓員工加入企業(yè)的網(wǎng)絡安全意識培訓計劃的唯一方法是讓他們充分投入到學習過程中，通過高度參與以及培訓相關內(nèi)容，確?？沙掷m(xù)的行為改變。

當涉及到網(wǎng)絡安全意識培訓課程時，有幾種方法來理解“相關性”。首先，培訓內(nèi)容應該基于真實世界的網(wǎng)絡攻擊和阻止網(wǎng)絡攻擊的策略。其次，在員工獨特技能和學習風格的基礎上實現(xiàn)個性化。第三，應該使用講故事和游戲化等策略，這將給員工關注的理由。網(wǎng)絡安全意識培訓就是要提供正確的激勵措施來保持參與度，而且這些激勵措施必須在企業(yè)內(nèi)部具有說服力。

構(gòu)建網(wǎng)絡安全文化

有效的網(wǎng)絡安全意識培訓計劃的最終目標是使網(wǎng)絡安全成為從上到下的企業(yè)文化的一部分。網(wǎng)絡安全意識不應該只是員工、部門經(jīng)理和企業(yè)領導者在參與網(wǎng)絡安全意識培訓內(nèi)容或明確討論工作場所的網(wǎng)絡安全時才考慮的事情。應該告知他們所做的一切，從他們?nèi)绾问褂脭?shù)字資源到如何與同事溝通和合作。

廣泛的利益相關者支持是創(chuàng)建網(wǎng)絡安全文化的先決條件，因為這一過程需要企業(yè)中每個人的持續(xù)承諾。這就是強有力的激勵至關重要的地方。提高敬業(yè)度和保留率的最佳方法之一是打開一個新的窗口，也就是向員工展示企業(yè)及其領導層關心他們個人的職業(yè)發(fā)展，提供機會培養(yǎng)他們的網(wǎng)絡安全意識就是其中一種方法。還可以通過鼓勵和獎勵健康行為來幫助企業(yè)關注問責制。企業(yè)可以使用許多工具來維持問責制，例如網(wǎng)絡釣魚測試和對員工優(yōu)勢和劣勢的個性化評估，這些工具可以開辟關于改進領域的溝通渠道。

如今，網(wǎng)絡威脅在不斷發(fā)展，因為黑客正在不斷地測試企業(yè)的防御措施，并設計新的方法來利用漏洞。企業(yè)員工通過培訓可以了解最新的網(wǎng)絡犯罪策略，并利用這些知識來保護業(yè)務安全。然而，網(wǎng)絡犯罪分子仍然只需要一個單一的入口點就可以進行網(wǎng)絡攻擊，這也讓企業(yè)清醒地認識到，實施網(wǎng)絡安全意識培訓計劃需要利益相關者的全面支持。