加強員工安全意識培訓的方法

■ 云南 張銳

編者按：企業內部威脅已成為企業面臨的最重要隱患之一，因此加強員工安全意識培訓已變得迫在眉睫。本文探討加強這一方面的5 種方法。

InfoScales的報告顯示，成功實施的網絡攻擊中有95%的是人為失誤造成的，其中最明顯的是公司員工遭遇網絡釣魚詐騙。很多企業的網絡安全工作主要側重于對安全技術和產品的投入，來防止技術性的數據泄漏、黑客滲透和系統入侵。

但他們往往忽視了人為因素，這也是攻擊者所利用的重要因素。

因此，對企業員工的安全意識培訓勢在必行，以下5種方式可以幫助企業來實現這一目標。

1.重點防范網絡釣魚攻擊

無論企業的防火墻和電子郵件網關等安全防御體系有多么強大，如果遇到毫無戒心的員工點擊到了電子郵件中的惡意鏈接并毫不知情地輸入了憑據，以上措施都將形同虛設。因此，加強對員工這方面的培訓，使其有能力區分合法或可疑的電子郵件，例如來自“領導”的電話，員工的“工資單”等，可以更好地使員工具備處理突發事件的能力。

第三方提供的技術解決方案，可以使員工將可疑的電子郵件直接報告給公司專門應對釣魚郵件的安全系統，以供內部安全人員進行審查。這樣即便員工中招，企業的安全運營部門也可以立即將其隔離并查殺。

通過全面的安全培訓，員工“檢舉”可疑電子郵件就可以大大降低因偶然性帶來的風險。

2.在信息處理方面保持合規

如果員工更好地掌握了處理敏感信息的方法，企業自然會更符合相關法律法規的要求，以避免因違規而帶來的法律風險。例如網絡安全法、相關行業網絡安全規章制度等。跨國企業還會涉及當地有關數據保護方面的法規，或是企業軟件開發人員和信息安全人員沒有意識到阻止惡意流量而導致DDoS 攻擊。

要讓員工的安全意識形成一種企業文化，例如，員工不能通過即時通訊軟件或其他不安全的渠道非正式地共享企業敏感信息，IT 專業人員要在法律框架之下設計和管理IT 系統等。

3.加強物理邊界安全

安全涉及的方面非常繁多，并且遵循“木桶理論”。不管安全體系多么強大，如果存在某一個很明顯的短板被攻擊者利用，那么一切安全措施都是徒勞的。

例如，盡管存在人臉識別或指紋識別的電子門禁，但社會工程攻擊仍然是企業安全管理上面臨的重要威脅。如果只是擺上設備而疏于管理，陌生人尾隨獲得授權的人員進入辦公室，就很輕易地突破了限制。

這只是一個很常見且很低級的安全管理漏洞，像其他類似的安全問題還有很多。如果陌生人違規進入敏感場所，然后對計算機系統進行物理訪問來竊取數據，又或者是惡意競爭者偷偷溜進敏感場所進行偷拍該怎么辦？

為避免發生這些情況，必須制定嚴格的企業政策以及安全培訓，以確保安全意識培訓囊括整個公司范圍內所有員工，而不僅僅是重要崗位員工。

4.減少違規和負面因素帶來的風險

受過良好教育并且具有較強安全意識的員工可以很好地防范社會工程攻擊，從而避免企業數據泄露事件的發生。僅此一項就可以保護企業寶貴的資產，盡可能地減少知識產權的泄漏，并從整體上保護企業品牌聲譽。而這些積極措施也能夠更好地吸引投資者并贏得客戶的信任。相反，遭遇數據泄露問題的企業在吸引新客戶方面也將遇到很多麻煩。

5.保護員工的個人信息

不僅僅是保護企業數據資產，員工個人信息也是企業應重點保護的對象。要知道，員工個人信息泄露同樣會給企業帶來嚴重損失。因此，增強員工安全意識也應包括對員工個人信息的保護，也證明了保護員工自身利益同樣能讓企業受益。

總而言之，針對員工的網絡安全意識培訓應當落到實處，而不是停留在理論層面，這樣的投入和付出必將使企業獲得更大的收益。