如何创建一个棘手的网络安全培训项目

企业都知道，对员工进行网络安全和隐私方面的培训不仅昂贵，而且很耗时。不过,鉴于目前的威胁针对的是企业除了消费者，在工作场所介绍和教授网络安全和隐私的最佳做法无疑已成为绝对的事情必须．

创建一个成功的培训项目是一项艰巨的任务。它不只是要求学员从互联网上抓取“网络安全101”的材料，塞在一个PowerPoint演示文稿中，并期望学员理解什么是危险的，更不用说改变不受欢迎的行为。它比这个更有思想，更有系统。

组织一个网络安全和隐私培训项目，不仅有效而且有效，需要大量的时间、努力和思考，以发现员工的学习需求，规划，创建目标，并确定他们想要去的地方。没有这些，传授网络安全和隐私知识将是无效的，更不用说代价高昂了。

我们的过去问错误的问题(“我该从哪里开始?”)但如果你仍在权衡你的组织是否应该开展一场宣传活动，而不是全面的培训或教育项目，我们会帮助你更容易地做到这一点。虽然意识、培训和教育在这一领域可以互换使用或混合使用，但实际上，这三者的核心是完全不同的。

意识、培训和教育

意识是Malwarebytes实验室的核心工作。必威官方登录备用必威平台APP我们通过撰写与网络安全相关的内容来传授知识，其中包括新闻、观点文章、思想领导力、恶意软件分析、商业和消费者指南以及季度威胁报告。但对于那些旨在巩固员工工作所需的特定安全技能的公司来说，意识可能还不够。

安全意识活动的目的是让员工意识到，对来源可疑的电子邮件的特定行动或回应实际上可能是危险的。美国国家标准与技术研究所(NIST)定义了意识，培训,教育如下:

• 意识不是训练。意识的目的只是将注意力集中在安全性上。意识演示旨在让个人认识到IT安全问题并作出相应的响应。
• 培训努力培养相关和需要的安全技能和能力。
• 教育将各种功能专业的所有安全技能和胜任能力集成到一个共同的知识体系中…致力培养具备远见和积极应变能力的资讯科技保安专家和专业人士。

NIST还认识到，意识可以是培训的基础。也就是说，组织可能不需要选择其中之一。他们可以从意识开始，然后培训，然后教育，如果他们选择培养专家的话。在这篇博文中，我们将只关注中间立场:训练，从概念到执行。

为什么培训不起作用:让我们数一数吧

虽然培训是在组织中建立安全知识的一个很好的方法，但它并不总是按计划进行。培训可能无效的原因包括:(1)学员从培训中没有学到很多东西;(2)学员在培训后没有改变自己的行为;(3)学员学到的东西没有长时间保留。在制定培训计划之前，让我们也列出一些额外的要点，以确保我们的期望得到控制。

培训每年进行一次。传统上，组织每年举办一次培训课程，但当涉及到网络安全时，这种情况将发生巨大变化。定期召开会议是很重要的，特别是对新员工来说，以便掌握网络罪犯采用的任何可能影响业务的新策略。此外，组织必须记住，网络安全最佳实践不应该是他们培训员工的唯一准则。他们也应该特别注意解决内部威胁和工作场所暴力．

培训是可选的。那些对网络安全不是很认真，但又想做点什么的公司会组织一个培训课程(通常很短)，鼓励员工参加，但不是必须的。由于各行各业都经常发生黑客入侵事件，所以了解网络安全的员工基础已经成为每个组织的必要条件。各国政府早就认识到这一需要，并通过立法，要求组织对处理和保护资产负责。遵守法律需要培训，特别是对于直接将数据资产作为工作的一部分的员工。

培训只针对非管理层员工进行。这是我们在工作场所看到的另一个传统场景。很多人可能没有意识到这一点，但很多管理职位的员工在网络安全问题上并不明智。通常，他们不知道组织已经具备的任何安全措施和政策。这对组织来说是至关重要的将管理层纳入培训课程．

训练很无聊/时间太长/信息太多难以消化。反过来，培训应该传授的知识也没有得到充分的传授和接受。受训者经常觉得有太多的东西要他们消化(尤其是当他们第一次听到这些的时候)，他们中的大多数人最终会感到困惑或有太多的问题。IT主管和教育工作者将会认识到这一点。

保持对培训的期望

以下是组织机构必须牢记的几点，以降低他们的期望，避免做出可能导致失败的决定。

• 虽然没有所谓的完美的安全，也没有所谓的完美的训练计划。与之最接近的是一个由具有网络安全背景的个人定制的适合特定组织的程序。
• 培训并不是治愈组织中所有网络安全疾病的灵丹妙药。入侵仍有可能发生。
• 培训不会在一夜之间改变你的劳动力。改变是困难的，而且往往不受员工欢迎。所以，要有一定的抵抗力，坚持下去，反复服用过量。
• 培训员工并不能让他们成为专家。但至少，组织必须致力于让每个员工在网络安全方面足够胜任工作，同时坚持锻炼安全的计算习惯。

制定有效的网络安全培训计划的建议

训练的

这是一个准备阶段，在这个阶段，很多思考、头脑风暴和计划都在进行。这里的工作需要大量的时间，一些组织可能会发现，当左右发生破坏时，等待是一颗难以接受的药丸。然而，最终，公司会意识到提前规划是值得等待的。

• 获得高管的支持或赞助。在一个组织中，如果主管们不支持，任何项目的启动和取得动力都是具有挑战性的——如果不是不可能的话。因此，在做任何事情之前得到他们的祝福应该是优先考虑的。此外，高管可以帮助指导和塑造公司整体网络安全学习计划的未来。
• 创建一个培训工作组。一旦获得批准，组织必须创建一个工作组，理想情况下由来自不同部门的代表组成，包括高层管理人员。特别工作组的规模应与其组织规模相关。必须有一个专门的小组负责组织的网络安全学习，不仅要承担责任，而且要充分解决需求并执行该计划。在这个阶段，组织还可以邀请外部第三方作为顾问加入工作组。
• 了解你的员工以及影响他们的公司文化。工作小组的首要任务之一是评估他们潜在的实习生——包括管理人员——并找出他们的动力，他们如何学习，以及他们需要学习什么。
• 创建一个路线图，包括他们想要达到的目标。工作小组现在可以利用他们从评估中获得的信息来设计培训计划，以及如何最好地展示内容，以达到最大程度的学习。识别他们从员工身上观察到的不良计算行为，并致力于改变它们也是明智的。注意:无论组织决定如何培训员工，培训都应基于教授网络安全和隐私最佳实践以及当地和国际安全标准。
• 优先考虑。一旦工作组确定了需要改变的不良行为，团队就必须确定他们想要解决的前三个问题。这样做可以避免信息过载。例如:由于组织中的每个员工都要处理电子邮件，因此团队可以专注于引入可能在其收件箱中发现的风险，识别风险指标，突出当前员工的不安全行为，然后对这些行为进行更改，从而降低风险。

---

读:工作收件箱中有内部威胁

---

• 为你的目标学员确定最好的培训方法或策略。这里没有放之四海而皆准的方法。工作组可以使用传统的课堂教学方法，基于计算机的培训(或电子学习)，或两者的结合——即所谓的混合学习。作为经验法则，电子学习是需要重复学习的理想方法(特别是对新员工)。一个特别小组里熟悉的人成人学习的方法可以对进一步优化学习方法做出显著贡献。例如，小组可以计划在初始训练后的几周内通过让学习者进行模拟来巩固学习。模拟中的任何失败都是一个新的学习机会。
• 沟通。在这部分，工作小组应该社会化组织的培训计划，为什么这是重要的，组织试图实现什么，以及培训将如何进行。在第一封邮件发出，提醒员工即将进行的培训，并让他们屏蔽掉自己的日程表之前，获得利益相关者的支持，并获得高管的正式签字。随着培训日期的临近，工作小组还可以通过定期发送即将到来的培训细节(或任何更改)通知来帮助员工。
• 在培训前为学员准备在线课程。如果工作组决定采取混合学习路线，工作组可能会考虑让员工参加在线课程，作为适当培训的入门课程。该课程可以介绍他们可能在培训中遇到但没有听说过的术语，比如商务邮件折中(BEC)．这样，受训者就可以学会培训中使用的术语，而不必在字典中查找缩略词。

PERI-TRAINING

既然组织已经确定了他们想要改进的员工行为，也知道了如何有效地进行培训，那么现在就该对员工进行培训了。工作不止于此。

• 把培训师想象成一个促进者，而不是讲师。主持项目的人应该鼓励互动和开放，因为作为积极的参与者，员工将更好地保留知识。
• 使培训环境开放和友好，让每一个学员都能畅所欲言，而不是被强迫或强迫。
• 让培训更具互动性。在这个时代，有比点击幻灯片更有创意的方式来展示信息。视频、画外音和/或播客、文章和信息图都由组织来处理。他们也可以参与现场演示，角色扮演和模拟，在可能的情况下。
• 为了帮助学员记住所学的知识，可以使用期中测验、练习和课后总结。
• 考虑使用在线平台进行期末考试。通过这种方式，公司还可以整合游戏化技术，使考试更有趣，压力更小。

顺便提一下，工作小组可能会考虑允许调解人和受训者在培训室外进行非正式的谈话或聊天，比如在公司休息室或马路对面的咖啡店。这种聊天可以是对当天培训的话题或学习的进一步讨论，也可以是学员提问的机会。

---

读:如何创造一种有意为之的网络安全文化

---

岗位培训

在这一点上，工作组的工作几乎已经完成，但还没有完成。

训练后的活动不应该是可选的。事实上，训练后阶段和训练前阶段一样不可或缺。如果不这样做，培训的有效性就不会被衡量，反馈也不会被采纳，最终，这个项目就会停滞不前。然而，需要注意的是，培训后不仅要监控项目的有效性，还要持续改进项目，并在全公司范围内推广良好的网络安全和隐私行为。

• 实施意识确认，培养对所有员工的问责制。给学员颁发结业证书似乎是安全培训项目的普遍结果。但是，如果不是证书，或者在证书之外，组织让学员签署认可文件，以促进问责制，那会怎样呢?在投资并实施有效的培训计划后，公司应该期望员工遵守新的网络安全和隐私政策。没有什么比让他们把自己的名字写在纸上，承认他们现在应该知道更多更能巩固这一信息的了。
• 在。中设置一个门户内部网其中包含了培训材料，让员工可以在自己舒服的时候重新访问。如果可能的话，允许员工在任何设备上、任何时间、任何地点访问这些材料，但必须使用VPN．该工作组还可以增加更多的技能建设资源，比如模拟，让员工在任何给定的时间练习他们学到的东西。
• 考虑创建一个常见问题解答预先准备好员工通常提出的问题。并非所有的问题都在培训期间或培训结束后立即提出和回答。通常，一个员工和另一个员工有同样的担忧。拥有一个可访问的访问页面来解决有关网络安全的问题，可以帮助学员在培训前领先一步，并在培训结束后很长一段时间内，让重要问题的答案触手可及。
• 在工作场所周围创建视觉提示以保持学习的新鲜感。海报、电子邮件时事通讯。基本上,作品。
• 随时向员工报告网络安全和隐私事件。在未来的某个时候，众所周知的“潜在恶意”邮件可能会进入员工的工作收件箱。经过训练，他们会意识到有什么不对头，可能会谨慎处理。如果有一个简单的报告系统，比如在Slack中有一个专门的房间，用于报告网络安全和隐私事件，那么任何人都可以更容易地对可疑电子邮件提出疑问或担忧。对于可能是冒名者发送的邮件，应该有标记和验证程序，以便员工了解并妥善处理此类事件。
• 必要时更新培训材料。期待这种情况定期发生，特别是当新的和合适的案例研究出现或更有效的教学方法出现时。

技术和培训做一起去

很多时候，组织意识到他们的系统和网络的弱点，所以他们把钱集中在最好的软件上。此外，由于缺乏培训或意识，企业往往也会发现员工上网习惯上的缺陷，但由于预算和资源的限制，有关网络安全和隐私的培训并没有进行。

但是，虽然解决只有技术才能解决的系统弱点至关重要，但组织必须认识到，从整体上看，它的安全性只能和防火墙或AV一样好。除此之外，有些人虽然缺乏意识，但对安全构成了威胁。为了让员工从责任到最后一层防御，公司里的每一个人——从首席执行官到前台接待员——都必须接受至少一次关于网络安全和隐私的一般性培训，这种培训只会更加深入，并针对各个部门量身定制。如果忽视这一点，组织所付出的代价可能不仅仅是钱;它们作为服务提供商的声誉、竞争优势和整体业务成功也面临风险。

西奥多·罗斯福曾经说过，知道什么是正确的没有多大意义，除非你做了正确的事。他是对的。仅仅让员工知道该做什么是不够的。他们需要吸收并应用他们所知道的，改变任何不良行为，采取更安全的在线做法。这些教训需要坚持下去。为了实现这一点，组织必须创建一个高效的培训计划，确保员工知道并理解为什么培训是必要的，并确保员工通过让他们负责来遵守要求。这些都是经过考验的方法，组织可以在这个漏洞不断的时代保持自己的地位。