企業(yè)員工安全意識(shí)培訓(xùn)一直被認(rèn)為是合規(guī)性的可選活動(dòng),但并不一定是保護(hù)企業(yè)資產(chǎn)的有效策略。
然而,在充滿質(zhì)量安全意識(shí)培訓(xùn)產(chǎn)品的競爭激烈的市場,一位專家稱,企業(yè)安全管理人員應(yīng)該重新思考他們對(duì)用戶意識(shí)培訓(xùn)的看法。
研究公司Gartner這個(gè)月發(fā)布了第一個(gè)安全意識(shí)培訓(xùn)供應(yīng)商魔力象限,該報(bào)告分析了來自19個(gè)最大安全意識(shí)培訓(xùn)供應(yīng)商的產(chǎn)品。重量級(jí)供應(yīng)商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名,還有令人驚訝的大批初創(chuàng)培訓(xùn)機(jī)構(gòu)??偠灾揋artner報(bào)告中的供應(yīng)商的總體年收入約為6.5億美元。
該報(bào)告作者同時(shí)也是Gartner研究副總裁Andrew Walls表示,在這個(gè)Gartner研究中不能看到的是,成千上萬的利基培訓(xùn)供應(yīng)商,這些供應(yīng)商在適當(dāng)?shù)那闆r下可以像大型供應(yīng)商一樣提供有用的產(chǎn)品。例 如,如果一家小型培訓(xùn)供應(yīng)商旨在美國辛辛那提地區(qū)運(yùn)營,并且其客戶好評(píng)如潮,辛辛那提的企業(yè)應(yīng)該考慮這家本地供應(yīng)商是否滿足其企業(yè)的需求。
Walls表示,“他們沒有在俄亥俄州之外提供培訓(xùn)服務(wù)其實(shí)并不重要。”
他指出,世界各地有很多這樣的供應(yīng)商,他們僅在一個(gè)地區(qū)提供培訓(xùn)服務(wù),例如北京或者倫敦,或者有的供應(yīng)商近提供特定語言的安全意識(shí)培訓(xùn),這在印度這樣的國 家就很普遍。當(dāng)同時(shí)考慮這些大型和小型供應(yīng)商時(shí),其結(jié)果是,這個(gè)培訓(xùn)市場的年收入已經(jīng)超過10億美元,并且根據(jù)有限的市場數(shù)據(jù),這個(gè)市場每年大約增長 13%。
安全意識(shí)培訓(xùn)拐角
Walls承認(rèn),盡管長期以來很多企業(yè)認(rèn)為員工意識(shí)培訓(xùn)根本沒有作用,但安全意識(shí)培訓(xùn)市場正在蓬勃發(fā)展。
他表示,這種態(tài)度在很大程度上是源于企業(yè)過去的錯(cuò)誤,企業(yè)通常利用內(nèi)部安全團(tuán)隊(duì)來制定安全培訓(xùn)計(jì)劃。雖然來自內(nèi)部安全專家的意見對(duì)于高質(zhì)量培訓(xùn)很重要,但Walls稱,這種DIY培訓(xùn)課程往往沒有包含關(guān)鍵因素:教學(xué)設(shè)計(jì)人員和其他培訓(xùn)專家。
“有效的教育并不是簡單的事情,這需要非常了解你的受眾,以及你如何衡量教學(xué)成效,”Walls表示,“在這個(gè)行業(yè)中,在安全教育的歷史完全忽略了這些,它并沒有擔(dān)心效果;并沒有考慮這是否有效。”
“從而導(dǎo)致大家普遍認(rèn)為,安全培訓(xùn)并不值得花時(shí)間和金錢,”Walls繼續(xù)說道,“這是責(zé)備工具的經(jīng)典綜合征,錯(cuò)在于你,而不是受眾。”
安全意識(shí)培訓(xùn):不只是為了合規(guī)
盡管如此,現(xiàn)在越來越多的企業(yè)正在轉(zhuǎn)向安全培訓(xùn)來解決各種安全和業(yè)務(wù)問題。
原因之一在于,在企業(yè)環(huán)境中,攜帶自己設(shè)備到工作場所(BYOD)趨勢(shì)的日益流行讓設(shè)備可以繞過或者無視很多企業(yè)用于保護(hù)臺(tái)式機(jī)和筆記本電腦的經(jīng)過檢驗(yàn)而可靠的技術(shù)控制。這樣一來,攻擊者和敏感企業(yè)數(shù)據(jù)之間的唯一障礙可能是企業(yè)對(duì)使用BYOD手機(jī)的安全最佳做法的知識(shí)。
Walls認(rèn)為,另一個(gè)因素是影響著各種規(guī)模和各行各業(yè)的企業(yè)的數(shù)據(jù)泄露事故浪潮。面對(duì)數(shù)據(jù)泄露事故問題,企業(yè)可以部署盡可能多的技術(shù),但如果員工仍然會(huì)打開釣魚郵件,培訓(xùn)就成為一種必然。
Walls表示,企業(yè)還關(guān)注數(shù)據(jù)泄露事故相關(guān)的“聲譽(yù)問題”。例如,在零售商Target和Home Depot公司遭遇大規(guī)模數(shù)據(jù)泄露事故后,這兩家公司飽受批評(píng),有消息稱這兩家公司的安全程序都存在嚴(yán)重的人員和技術(shù)失誤。
在看到這樣的數(shù)據(jù)泄露事故時(shí),企業(yè)通常擔(dān)心面對(duì)來自客戶和股東的類似批評(píng)—關(guān)于員工沒有受到適當(dāng)?shù)呐嘤?xùn)。
Walls表示:“企業(yè)想要能夠證明他們已經(jīng)教授其員工所有這些內(nèi)容,以及員工具有相關(guān)技能。”
選擇安全意識(shí)培訓(xùn)供應(yīng)商
面對(duì)市場中數(shù)以千計(jì)的安全意識(shí)培訓(xùn)供應(yīng)商,以及進(jìn)入Gartner魔力象限的近20家供應(yīng)商,企業(yè)可能想知道哪家最好。盡管Gartner魔力象限將某些 供應(yīng)商標(biāo)注為“領(lǐng)導(dǎo)者”或者“遠(yuǎn)見者”,Walls強(qiáng)調(diào),對(duì)于培訓(xùn),并沒有“最佳供應(yīng)商”,只有滿足具體要求的合適的供應(yīng)商。
Walls表示,企業(yè)必須認(rèn)識(shí)到,從性質(zhì)來看,安全培訓(xùn)應(yīng)該對(duì)目標(biāo)受眾進(jìn)行定制化??蛻舴?wù)員工可能適合一年兩次的基于計(jì)算機(jī)的培訓(xùn)模式,而首席執(zhí)行官和其他高管則更適合通過其他培訓(xùn)方法獲取知識(shí)。
考慮到這一點(diǎn),Walls建議,企業(yè)應(yīng)該看看哪些供應(yīng)商提供特定主題的培訓(xùn)(可以是針對(duì)特定行業(yè),或者特定監(jiān)管要求,例如HIPAA或者反釣魚),然后蘋果可用的培訓(xùn)模式來確定是否滿足企業(yè)員工培訓(xùn)需求。
“這可能是具有高互動(dòng)性的過程,供應(yīng)商可能會(huì)送他們一本書,但企業(yè)必須要自己進(jìn)行分析,”Walls指出,很多他知道的企業(yè)選擇多個(gè)供應(yīng)商來滿足不同的需求。“如果你是在印度尼西亞和新澤西州運(yùn)營的跨國企業(yè),你不能給每個(gè)人都安排相同的培訓(xùn)。”
除了事前評(píng)估企業(yè)的需求,在選擇培訓(xùn)供應(yīng)商需要考慮的另一個(gè)重要因素是提供的評(píng)估服務(wù)。有些供應(yīng)商可能提供簡短培訓(xùn)視頻,緊接著是一個(gè)測(cè)試來幫助企業(yè)遵守法律法規(guī),但Walls強(qiáng)調(diào)這些方法并不能提高企業(yè)的安全態(tài)勢(shì)。
企業(yè)應(yīng)該確定培訓(xùn)供應(yīng)商提供持續(xù)的評(píng)估服務(wù)。Walls表示,反釣魚供應(yīng)商(例如Wombat、PhishMe和PhishLine)在近年來頗為流行,不僅因?yàn)榫W(wǎng)絡(luò)釣魚攻擊給企業(yè)構(gòu)成巨大威脅,而且因?yàn)檫@些供應(yīng)商客戶真正證明釣魚預(yù)防培訓(xùn)服務(wù)的有效性。
“他們會(huì)發(fā)送附有連接的郵件給你,如果你點(diǎn)擊它,你就要繼續(xù)回去參加輔導(dǎo)培訓(xùn),”Walls表示,“持續(xù)的評(píng)估構(gòu)建在員工實(shí)際操作的根本性質(zhì)中。”
Walls預(yù)計(jì),在未來幾年我們會(huì)看到較大型培訓(xùn)供應(yīng)商之間的大量整合。有些較大型安全供應(yīng)商會(huì)考慮進(jìn)行收購,以整合安全意識(shí)培訓(xùn)到更大的產(chǎn)品組合中,而 PhishMe和Wombat等供應(yīng)商已經(jīng)與其他安全公司建立了合作伙伴關(guān)系。他補(bǔ)充說,反釣魚供應(yīng)商可能會(huì)受到影響,因?yàn)槠洚a(chǎn)品的獨(dú)特性被削弱。
Walls總結(jié)道,未來市場整合活動(dòng)對(duì)于行業(yè)是利好消息,因?yàn)榕嘤?xùn)會(huì)被視為合法的必須具備的企業(yè)安全工具。
“如果你不讓員工了解你的政策,你不要指望他們會(huì)遵循政策,”Walls表示,“企業(yè)應(yīng)該將其視為基本要素,就像在臺(tái)式機(jī)部署反惡意軟件。”